Bir Amerikan ticari yazılım şirketi olan JumpCloud, sofistike bir ulus-devlet destekli tehdit aktörü tarafından başlatılan bir mızrakla kimlik avı saldırısına atfedilen bir veri ihlali olduğunu duyurdu.
Sonuç olarak, tehdit aktörü (Ulus-devlet), küçük ve belirli bir müşteri grubunu hedeflemek için JumpCloud sistemlerine yetkisiz erişim elde etti.
Spear phishing, orijinal görünen ve güvenilir bir kaynaktan gelen kişiselleştirilmiş bir e-posta veya mesajla belirli bir kişiyi, kuruluşu veya işletmeyi hedefleyen bir tür kimlik avı saldırısıdır.
JumpCloud’un bir hizmet platformu olarak bulut tabanlı dizini, kullanıcıların kimliğini, cihazlarını ve VPN, Wi-Fi, Sunucular ve iş istasyonları gibi şeylere erişimini güvenli bir şekilde yönetmek için kullanılır.
Bir ulus-devlet tehdit aktörü bilgileri çalmak, zarar vermek ve/veya değiştirmek için diğer hükümetlerin veya endüstri gruplarının ağlarını zorla hedef alan ve bu ağlara yasa dışı erişim sağlayan, devlet destekli bir gruptur.
Özellikle bu tür saldırganlar, izlerini gizlemek için aşırı çaba sarf eder ve menşe ülkelerine kadar seferlerinin izini sürmeyi zorlaştırır. Genellikle, siber müfettişleri yanıltmak için “sahte bayraklar” yerleştirirler.
Spear phishing’in amacı, hedefin özel bilgileri ifşa etmesini, kötü amaçlı yazılım indirmesini veya para kaybetmesini sağlamaktır.
27 Haziran’da kuruluş, iç sistemde kötü amaçlı etkinlik keşfetti, altyapının belirli bir alanına eriştiler, ancak o sırada etkiler hakkında herhangi bir kanıt bulamadılar.
Potansiyel tehlikeden kaçınmak için altyapıyı yeniden inşa etmek için acil önlemler aldılar ve ağımızı ve çevremizi daha da güvenli hale getirmek için bir dizi başka önlem aldılar.
Ayrıca, sistemi analiz etmek için Olay Müdahale (IR) ortaklarıyla birleşirler, ayrıca soruşturma için kolluk kuvvetleriyle iletişime geçerler.
5 Temmuz’da 3:35 UTC’de (Eşgüdümlü Evrensel Zaman), komut çerçevelerinde başka bir sıra dışı etkinlik buldular.
O sırada müşteri etkilerine dair kanıtlara sahipler, bu nedenle etkilenen müşterilerle çalıştılar ve onlara daha fazla güvenlik önlemi konusunda yardımcı oldular.
Kuruluş, 5 Temmuz 23:11 UTC’den başlayarak tüm yönetici API anahtarlarının zorunlu rotasyonunu gerçekleştirmeye karar verdi.
Saldırganların verileri komut çerçevesine enjekte ettiğini ve ayrıca yalnızca belirli müşterileri hedeflediklerini buldular.
Bu olay, kuruluşun bu kampanya için gözlemlediğimiz bir IOC (Uzlaşma Göstergeleri) listesi oluşturmayı ve şimdi paylaşmayı öğrenmesini sağladı.