Dalış Özeti:
- JumpCloud, bir geçen ay siber saldırı şirket Perşembe günü yaptığı açıklamada, bir avuç müşterisiyle sınırlı olduğunu söyledi. güvenlik olayı güncellemesi.
- “Çeşitli kimlik, erişim, güvenlik ve yönetim işlevleri için JumpCloud platformuna güvenen 200.000’den fazla kuruluştan beşten az JumpCloud müşterisi etkilendi ve toplamda 10’dan az cihaz etkilendi.” CISO Bob Phan olay raporunda söylendi.
- Phan, kimlik ve erişim yönetimi sağlayıcısının etkilenen tüm müşterileri doğrudan bilgilendirdiğini söyledi. JumpCloud, etkilenen kuruluşları belirlemeyi veya varsa hangi verilerin çalındığını söylemeyi reddetti.
Dalış Bilgisi:
Tedarik zinciri saldırısı, kripto para birimi sektöründe faaliyet gösteren belirli JumpCloud müşterilerini hedef aldı ve güvenlik araştırmacılarına göre Kuzey Kore hükümetiyle bağlantılı bir tehdit aktörü tarafından gerçekleştirildi.
JumpCloud’un olay müdahale ortağı CrowdStrike, üretken tehdit aktörünü şu şekilde tanımlar: Labirent Chollomaen az 2009’dan beri aktif olan bir Lazarus alt grubu.
SentinelOne ve Mandiant ayrıca hedefli kimlik avı saldırısını Kuzey Kore ile bağlantılı bir APT aktörüne bağladı. Mandiant, şu anda 27 Haziran’dan itibaren JumpCloud izinsiz girişi tarafından ele geçirilen bir aşağı akış kurbanıyla çalıştığını söyledi.
“Mandiant, bu kampanyanın öncelikle öncelikli hedeflerden kimlik bilgileri ve gelecekteki izinsiz girişler için keşif verileri elde etmeye odaklandığını değerlendiriyor.” Mandiant’ta kıdemli olay müdahale danışmanı Austin Larsenbir Google Cloud birimi, e-posta yoluyla bildirildi.
Larsen, “Bu, kripto para birimi endüstrisini ve çeşitli blockchain platformlarını giderek daha fazla hedef aldığını gördüğümüz, finansal olarak motive olmuş bir tehdit aktörüdür” dedi. “Bununla uğraşan başka kurbanlar olduğunu tahmin ediyoruz.”
Güvenlik araştırmacıları, atıflarını yapmak için bu hafta başlarında JumpCloud tarafından paylaşılan risk göstergelerini kullandılar. JumpCloud’un federal kolluk kuvvetleri ve CrowdStrike ile yaptığı soruşturma devam ediyor.
JumpCloud ilk olarak 27 Haziran’da dahili bir orkestrasyon sisteminde anormal bir etkinlik keşfetti ve bunu, şirketin komutlar çerçevesine veri enjeksiyonunu içeren 22 Haziran’daki hedef odaklı kimlik avı saldırısıyla ilişkilendirdi. Şirket, müşteri etkisine dair kanıtları ilk olarak 5 Temmuz’da şirketin geçersiz kıldığı ve tüm yöneticiler için API anahtarlarını sıfırlayın.
JumpCloud, çok dizinli yönetim, kimlik ve erişim yönetimi, çok faktörlü kimlik doğrulama, çoklu oturum açma ve çeşitli üçüncü taraf hizmetleriyle entegrasyon sağlar.
Şirket, ek bilgi talebine yanıt vermedi.
Phan, “JumpCloud, sektördeki en yüksek güvenlik standartlarına, müşterilerimizin güvenliği için hızlı yanıt ve hafifletmeye ve sektörün yararına açık iletişime kendini adamıştır.” dedi.