JumpCloud’un bir güvenlik olayından etkilenen müşterilerin API anahtarlarını sıfırlamasından bir haftadan biraz daha uzun bir süre sonra şirket, izinsiz girişin gelişmiş bir ulus-devlet aktörünün işi olduğunu söyledi.
JumpCloud Bilgi Güvenliği Sorumlusu (CISO) Bob Phan, “Düşman, küçük ve belirli bir müşteri grubunu hedef almak için sistemlerimize yetkisiz erişim elde etti” dedi. söz konusu otopsi raporunda. “Tehdit aktörü tarafından kullanılan saldırı vektörü hafifletildi.”
ABD kurumsal yazılım firması, 27 Haziran 2023’te, saldırgan tarafından 22 Haziran’da düzenlenen bir hedefli kimlik avı kampanyasına kadar izini sürdüğü dahili bir orkestrasyon sisteminde anormal etkinlik tespit ettiğini söyledi.
JumpCloud, kimlik bilgilerini döndürerek ve sistemlerini yeniden kurarak ağını korumak için güvenlik önlemleri aldığını söylese de, 5 Temmuz’da küçük bir müşteri grubu için komut çerçevesinde “olağandışı etkinlik” tespit etti ve bu da zorunlu rotasyona yol açtı. tüm yönetici API anahtarları. Etkilenen müşterilerin sayısı açıklanmadı.
Şirketin açıklamasına göre, ihlalin daha ayrıntılı analizi, “komutlar çerçevesine veri enjeksiyonu” olarak tanımladığı saldırı vektörünü ortaya çıkardı. Ayrıca saldırıların yüksek oranda hedefli olduğunu söyledi.
Ancak JumpCloud, Haziran ayında tespit ettiği kimlik avı saldırısının veri enjeksiyonuyla nasıl bağlantılı olduğunu açıklamadı. Kimlik avı e-postalarının, saldırıyı kolaylaştıran kötü amaçlı yazılımların yayılmasına yol açıp açmadığı şu anda net değil.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Saldırıyla ilişkili ek güvenlik ihlali göstergeleri (IoC’ler) gösterir düşmanın nomadpkg adlı etki alanlarından yararlandığını[.]com ve nomadpkgs[.]com, muhtemelen bir referans Go tabanlı iş yükü düzenleyicisi kapsayıcıları dağıtmak ve yönetmek için kullanılır.
Phan, “Bunlar, gelişmiş yeteneklere sahip sofistike ve ısrarcı düşmanlar” dedi. JumpCloud, olaydan sorumlu olduğu iddia edilen grubun adını ve kökenini henüz açıklamadı.