В июле 2023 года компания Mandiant Consulting отреагировала на компрометацию цепочки поставок, затронувшую американскую компанию, занимающуюся разработкой программного обеспечения. Мы полагаем, что компрометация началась в результате сложной фишинговой кампании, направленной на JumpCloud, платформу каталогов с нулевым уровнем доверия, используемую для управления идентификацией и доступом. JumpCloud сообщила, что несанкционированный доступ затронул менее пяти клиентов и менее 10 устройств. Подробности, приведенные в этом блоге, основаны на результатах расследования Mandiant атаки на одного из клиентов JumpCloud, подвергшихся атаке.
UNC4899 APT
Mandiant приписывает эти вторжения UNC4899, агенту из Корейской Народно-Демократической Республики (КНДР), имеющему опыт атак на компании в криптовалютной сфере. Mandiant с высокой степенью уверенности полагает, что UNC4899 является криптовалютным подразделением Главного разведывательного бюро КНДР (RGB). По данным, полученным от партнеров, UNC4899, скорее всего, соответствует TraderTraitor, финансово мотивированной группе угроз КНДР, которая в основном нацелена на компании, связанные с блокчейном.
27 июня 2023 года в 18:51:57 UTC компания Mandiant обнаружила вредоносный Ruby-скрипт, выполняемый через агент JumpCloud у нижестоящего клиента (компании, занимающейся разработкой программных решений). Компания JumpCloud в своем сообщении об инциденте безопасности подтвердила, что фреймворк команд был использован для вредоносных инъекций данных.
Indicators of Compromise
IPv4
- 146.19.173.125
- 198.244.135.250
- 23.227.202.54
- 38.132.124.88
- 88.119.174.148
MD5
- 155597a7985cb8f7a6e748e5e108f637
- 15bfe67e912f224faef9c7f6968279c6
- 27db0f17282a4c4507266f3c4d9c4527
- 39a421ea89035ffcc3dea0cd0f10964e
- 48eaf2a7e97189709fb3789f0c662e1c
- 65baa3c1a22052fe1f70c9d2cbe11de4
- 6d8194c003d0025fa92fbcbf2eadb6d1
- b0e0e0d258fcd55d3cc5af2b4669e014
SHA1
- c1fc3213bdb8f3139fd5d4b13e242441016c3c84
- e5d42bee74a1e1813e8aad9a46a5ebc219953926
- ff975b95cfc65b6d19ca18993322cfeed282de04
SHA256
- 08607faad41009e31c094539b20b615b3e7a71e716f2bca12e4a097f38f14466
- 28c3d359364bf5d64a864f08d4743ea08e48017be27fda8cf53fb5ba307583b4
- 5701d7bcf809d5ffc9061daeb24d3e7cc6585d9b42bacf94fc68a6c500542f8c
- 5d18443f88f38ad7e3de62ac46489f649b4e8183b76fba902fb9a9ccf8a0d5c8
- 6f1c47566a46d252885858f928a3b855fb3fd03941e3571d152562d0c75c4d47
- 88f23c22a7f9da8b5087a3fa9c76fd5c79903d89ceda4152943cadc0797cbcb8
- 9b1c1013ad8d2c0144af74eff5a2afc454b7b858bb7a5cba312bfb0f531c8930
- a8b1c5eb2254e1a3cec397576ef42da038600b4fa7cd1ab66472d8012baabf17
- a90561efc22bdd777956cc67d5b67e3ec3c1b4f35a64f4328e40615d2ab24186
- e901d9279d8f2ad96d741e7cd92770c0ce3ff3f4c029dbf26177b4e09228fe66
- f0854a28209e07a70d7847af4b2632e697bcb95f2c8fcead41eb9314710bd0c2
