Un poco más de una semana después de que JumpCloud restableciera las claves API de los clientes afectados por un incidente de seguridad, la compañía dijo que la intrusión fue obra de un actor sofisticado del estado-nación.
El adversario «obtuvo acceso no autorizado a nuestros sistemas para apuntar a un conjunto pequeño y específico de nuestros clientes», Bob Phan, director de seguridad de la información (CISO) de JumpCloud, dicho en un informe post-mortem. «El vector de ataque utilizado por el actor de amenazas ha sido mitigado».
La firma estadounidense de software empresarial dijo que identificó una actividad anómala el 27 de junio de 2023 en un sistema de orquestación interno, que se remonta a una campaña de phishing lanzada por el atacante el 22 de junio.
Si bien JumpCloud dijo que tomó medidas de seguridad para proteger su red mediante la rotación de credenciales y la reconstrucción de sus sistemas, no fue hasta el 5 de julio cuando detectó «actividad inusual» en el marco de comandos para un pequeño grupo de clientes, lo que provocó una rotación forzada de todas las claves API de administración. No se reveló el número de clientes afectados.
Un análisis más detallado de la infracción, según la divulgación de la empresa, descubrió el vector de ataque, que describió como una «inyección de datos en el marco de comandos». También dijo que los ataques fueron muy específicos.
JumpCloud, sin embargo, no explicó cómo el ataque de phishing que detectó en junio está conectado con la inyección de datos. Actualmente no está claro si los correos electrónicos de phishing llevaron al despliegue de malware que facilitó el ataque.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Indicadores adicionales de compromiso (IoC) asociados con el ataque espectáculos que el adversario aprovechó dominios llamados nomadpkg[.]com y nomadpkgs[.]com, una posible referencia a la Orquestador de carga de trabajo basado en Go Se utiliza para implementar y administrar contenedores.
“Estos son adversarios sofisticados y persistentes con capacidades avanzadas”, dijo Phan. JumpCloud aún tiene que revelar el nombre y los orígenes del grupo supuestamente responsable del incidente.