Un poco m\u00e1s de una semana despu\u00e9s de que JumpCloud restableciera las claves API de los clientes afectados por un incidente de seguridad, la compa\u00f1\u00eda dijo que la intrusi\u00f3n fue obra de un actor sofisticado del estado-naci\u00f3n.<\/p>\n
El adversario “obtuvo acceso no autorizado a nuestros sistemas para apuntar a un conjunto peque\u00f1o y espec\u00edfico de nuestros clientes”, Bob Phan, director de seguridad de la informaci\u00f3n (CISO) de JumpCloud, dicho<\/a> en un informe post-mortem. “El vector de ataque utilizado por el actor de amenazas ha sido mitigado”.<\/p>\n La firma estadounidense de software empresarial dijo que identific\u00f3 una actividad an\u00f3mala el 27 de junio de 2023 en un sistema de orquestaci\u00f3n interno, que se remonta a una campa\u00f1a de phishing lanzada por el atacante el 22 de junio.<\/p>\n Si bien JumpCloud dijo que tom\u00f3 medidas de seguridad para proteger su red mediante la rotaci\u00f3n de credenciales y la reconstrucci\u00f3n de sus sistemas, no fue hasta el 5 de julio cuando detect\u00f3 “actividad inusual” en el marco de comandos para un peque\u00f1o grupo de clientes, lo que provoc\u00f3 una rotaci\u00f3n forzada de todas las claves API de administraci\u00f3n. No se revel\u00f3 el n\u00famero de clientes afectados.<\/p>\n Un an\u00e1lisis m\u00e1s detallado de la infracci\u00f3n, seg\u00fan la divulgaci\u00f3n de la empresa, descubri\u00f3 el vector de ataque, que describi\u00f3 como una “inyecci\u00f3n de datos en el marco de comandos”. Tambi\u00e9n dijo que los ataques fueron muy espec\u00edficos.<\/p>\n JumpCloud, sin embargo, no explic\u00f3 c\u00f3mo el ataque de phishing que detect\u00f3 en junio est\u00e1 conectado con la inyecci\u00f3n de datos. Actualmente no est\u00e1 claro si los correos electr\u00f3nicos de phishing llevaron al despliegue de malware que facilit\u00f3 el ataque.<\/p>\n Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n <\/a><\/p>\n \u00bfPreocupado por las amenazas internas? \u00a1Te tenemos cubierto! \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n \u00danete hoy<\/a><\/section>\n Indicadores adicionales de compromiso (IoC) asociados con el ataque espect\u00e1culos<\/a> que el adversario aprovech\u00f3 dominios llamados nomadpkg[.]com y nomadpkgs[.]com, una posible referencia a la Orquestador de carga de trabajo basado en Go<\/a> Se utiliza para implementar y administrar contenedores.<\/p>\n \u201cEstos son adversarios sofisticados y persistentes con capacidades avanzadas\u201d, dijo Phan. JumpCloud a\u00fan tiene que revelar el nombre y los or\u00edgenes del grupo supuestamente responsable del incidente.<\/p>\n <\/p>\n