Кибератака на JumpCloud: КНДР атакует криптовалютные компании через фишинг

Эксперты Mandiant связывают эту атаку с группировкой UNC4899, которая, по их мнению, действует в интересах Корейской Народно-Демократической Республики (КНДР). С высокой степенью уверенности аналитики предполагают, что UNC4899 является криптовалютным подразделением Главного разведывательного бюро КНДР (RGB). Эта группа уже известна своими атаками на компании, связанные с блокчейном и цифровыми активами. По данным партнеров Mandiant, UNC4899, вероятно, соответствует группе TraderTraitor, которая специализируется на финансово мотивированных кибератаках.

27 июня 2023 года в 18:51:57 UTC специалисты Mandiant обнаружили вредоносный Ruby-скрипт, выполняемый через агент JumpCloud у одного из клиентов - компании, занимающейся разработкой программных решений. JumpCloud подтвердила, что злоумышленники использовали фреймворк команд для внедрения вредоносного кода, что позволило им получить несанкционированный доступ к системам.

Фишинговая кампания, предшествовавшая атаке, была тщательно спланирована и направлена на сотрудников JumpCloud. Злоумышленники использовали социальную инженерию, чтобы обманом заставить жертв предоставить доступ к критически важным системам. После успешного проникновения в инфраструктуру JumpCloud атакующие смогли распространить вредоносное ПО на клиентов платформы, что привело к компрометации их данных.

Этот инцидент в очередной раз демонстрирует, насколько уязвимыми могут быть цепочки поставок в условиях современных киберугроз. Атаки на поставщиков услуг, такие как JumpCloud, позволяют злоумышленникам получать доступ к множеству организаций одновременно, что делает их особенно опасными. Кроме того, активность группировок, связанных с КНДР, свидетельствует о растущем интересе государственных структур к криптовалютному сектору как источнику финансирования.

Компания JumpCloud оперативно отреагировала на инцидент, уведомив затронутых клиентов и приняв меры по устранению уязвимостей. Однако этот случай подчеркивает необходимость усиления мер безопасности, включая многофакторную аутентификацию, регулярное обучение сотрудников и мониторинг подозрительной активности.

Эксперты Mandiant рекомендуют организациям, особенно работающим в сфере криптовалют и блокчейна, уделять повышенное внимание защите своих систем от фишинга и других методов социальной инженерии. Угрозы, исходящие от государственных хакерских группировок, требуют комплексного подхода к кибербезопасности, включающего не только технические, но и организационные меры.

Атака на JumpCloud - это еще один тревожный сигнал для всего ИТ-сообщества. В условиях, когда киберпреступники становятся все более изощренными, компании должны быть готовы к быстрому реагированию и постоянному обновлению своих защитных механизмов.

IPv4

• 146.19.173.125
• 198.244.135.250
• 23.227.202.54
• 38.132.124.88
• 88.119.174.148

MD5

• 155597a7985cb8f7a6e748e5e108f637
• 15bfe67e912f224faef9c7f6968279c6
• 27db0f17282a4c4507266f3c4d9c4527
• 39a421ea89035ffcc3dea0cd0f10964e
• 48eaf2a7e97189709fb3789f0c662e1c
• 65baa3c1a22052fe1f70c9d2cbe11de4
• 6d8194c003d0025fa92fbcbf2eadb6d1
• b0e0e0d258fcd55d3cc5af2b4669e014

SHA1

• c1fc3213bdb8f3139fd5d4b13e242441016c3c84
• e5d42bee74a1e1813e8aad9a46a5ebc219953926
• ff975b95cfc65b6d19ca18993322cfeed282de04

SHA256

• 08607faad41009e31c094539b20b615b3e7a71e716f2bca12e4a097f38f14466
• 28c3d359364bf5d64a864f08d4743ea08e48017be27fda8cf53fb5ba307583b4
• 5701d7bcf809d5ffc9061daeb24d3e7cc6585d9b42bacf94fc68a6c500542f8c
• 5d18443f88f38ad7e3de62ac46489f649b4e8183b76fba902fb9a9ccf8a0d5c8
• 6f1c47566a46d252885858f928a3b855fb3fd03941e3571d152562d0c75c4d47
• 88f23c22a7f9da8b5087a3fa9c76fd5c79903d89ceda4152943cadc0797cbcb8
• 9b1c1013ad8d2c0144af74eff5a2afc454b7b858bb7a5cba312bfb0f531c8930
• a8b1c5eb2254e1a3cec397576ef42da038600b4fa7cd1ab66472d8012baabf17
• a90561efc22bdd777956cc67d5b67e3ec3c1b4f35a64f4328e40615d2ab24186
• e901d9279d8f2ad96d741e7cd92770c0ce3ff3f4c029dbf26177b4e09228fe66
• f0854a28209e07a70d7847af4b2632e697bcb95f2c8fcead41eb9314710bd0c2