بازیگران دولت-ملت کره شمالی وابسته به اداره کل شناسایی (RGB) به دنبال یک اشتباه امنیتی عملیاتی (OPSEC) که آدرس IP واقعی آنها را فاش کرد، به هک JumpCloud نسبت داده شده اند.
شرکت اطلاعاتی تهدیدات متعلق به گوگل Mandiant این فعالیت را به عامل تهدیدی که تحت نام UNC4899 ردیابی میکند نسبت داد، که احتمالاً با خوشههایی که قبلاً تحت نظارت هستند بهعنوان Jade Sleet و TraderTraitor، گروهی با سابقهای در بخشهای بلاک چین و ارزهای دیجیتال، همپوشانی دارند.
UNC4899 همچنین با APT43، یکی دیگر از خدمه هک مرتبط با جمهوری دموکراتیک خلق کره (DPRK) همپوشانی دارد که در اوایل ماه مارس به عنوان یک سری کمپین برای جمعآوری اطلاعات و جذب ارزهای دیجیتال از شرکتهای هدف، افشا شد.
روش عملیاتی گروه متخاصم با استفاده از جعبههای رله عملیاتی (ORB) با استفاده از تونلهای IPsec L2TP همراه با ارائهدهندگان VPN تجاری برای پنهان کردن نقطه مبدأ واقعی مهاجم مشخص میشود، و سرویسهای VPN تجاری به عنوان پرش نهایی عمل میکنند.
این شرکت در تحلیلی که روز دوشنبه منتشر شد، گفت: "موارد زیادی وجود داشته است که عوامل تهدید کره شمالی از آخرین پرش استفاده نکرده اند، یا به اشتباه از آن در هنگام انجام عملیات در شبکه قربانی استفاده نکرده اند."
نفوذ علیه JumpCloud در 22 ژوئن 2023 به عنوان بخشی از یک کمپین پیچیده spear-phishing که از دسترسی غیرمجاز برای نفوذ به کمتر از پنج مشتری و کمتر از 10 سیستم در آنچه حمله زنجیره تامین نرم افزار نامیده می شود، استفاده کرد.
یافتههای Mandiant مبتنی بر پاسخ حادثهای است که پس از یک حمله سایبری علیه یکی از مشتریان تحت تأثیر JumpCloud، یک موجودیت راهحلهای نرمافزاری ناشناس، آغاز شد، که نقطه شروع یک اسکریپت مخرب Ruby ("init.rb") است که از طریق عامل JumpCloud در 27 ژوئن 2020 اجرا شد.
یکی از جنبههای قابل توجه این حادثه، هدف قرار دادن چهار سیستم اپل است که دارای macOS Ventura نسخههای 13.3 یا 13.4.1 هستند، که نشاندهنده سرمایهگذاری مستمر بازیگران کرهشمالی در تقویت بدافزارهای مخصوص این پلتفرم در ماههای اخیر است.
این شرکت توضیح داد: «دسترسی اولیه با به خطر انداختن JumpCloud و درج کدهای مخرب در چارچوب دستورات آنها به دست آمد. حداقل در یک مورد، کد مخرب یک اسکریپت روبی سبک وزن بود که از طریق عامل JumpCloud اجرا شد.
این اسکریپت به نوبه خود برای دانلود و اجرای یک بار مرحله دوم به نام FULLHOUSE.DOORED طراحی شده است که از آن به عنوان مجرای برای استقرار بدافزارهای اضافی مانند STRATOFEAR و TIEDYE استفاده می کند و پس از آن بارهای قبلی در تلاش برای پوشاندن مسیرها از سیستم حذف شدند -
FULLHOUSE.DOORD - یک درب پشتی مرحله اول مبتنی بر C/C++ که با استفاده از HTTP ارتباط برقرار می کند و از اجرای دستورات پوسته، انتقال فایل، مدیریت فایل و تزریق فرآیند پشتیبانی می کند.
STRATOFEAR - یک ایمپلنت مدولار مرحله دوم که عمدتاً برای جمع آوری اطلاعات سیستم و همچنین بازیابی و اجرای ماژول های بیشتر از یک سرور راه دور یا بارگذاری شده از دیسک طراحی شده است.
TIEDYE - یک فایل اجرایی Mach-O مرحله دوم که می تواند با یک سرور راه دور برای اجرای بارهای اضافی، جمع آوری اطلاعات اولیه سیستم و اجرای دستورات پوسته ارتباط برقرار کند.
همچنین گفته میشود که TIEDYE شباهتهایی به RABBITHUNT دارد، یک درب پشتی نوشته شده در C++ که از طریق یک پروتکل باینری سفارشی روی TCP ارتباط برقرار میکند و قادر به پوسته معکوس، انتقال فایل، ایجاد فرآیند و خاتمه فرآیند است.
Mandiant گفت: "کمپینی که JumpCloud را هدف قرار می دهد، و گزارش قبلی به خطر افتادن زنجیره تامین کره شمالی از اوایل امسال که بر برنامه Trading Technologies X_TRADER و نرم افزار 3CX Desktop App تاثیر گذاشت، نمونه ای از اثرات آبشاری این عملیات برای دسترسی به ارائه دهندگان خدمات به منظور به خطر انداختن قربانیان پایین دست است."
هر دو عملیات مشکوک به ارتباط با بازیگران با انگیزه مالی در کره شمالی هستند که نشان می دهد اپراتورهای کره شمالی در حال اجرای TTP های زنجیره تامین برای هدف قرار دادن نهادهای منتخب به عنوان بخشی از تلاش های افزایش یافته برای هدف قرار دادن ارزهای دیجیتال و دارایی های مرتبط با فین تک هستند.
این توسعه چند روز پس از هشدار GitHub در مورد حمله مهندسی اجتماعی انجام شده توسط بازیگر TraderTraitor برای فریب کارمندان شاغل در شرکتهای بلاک چین، ارزهای دیجیتال، قمار آنلاین و امنیت سایبری انجام میشود تا کدهای میزبانی شده در مخزن GitHub را اجرا کنند که بر روی بستههای مخرب pm متکی است.
مشخص شده است که زنجیره عفونت از وابستگیهای مخرب npm برای دانلود یک بار ناشناخته مرحله دوم از یک دامنه تحت کنترل بازیگر استفاده میکند. از آن زمان این بسته ها حذف شده و حساب ها به حالت تعلیق درآمده اند.
Phylum در یک تحلیل جدید که جزئیات کشف ماژولهای npm جدید مورد استفاده در t را توضیح میدهد، گفت: بستههای شناساییشده، که به صورت جفت منتشر شدهاند، نیاز به نصب در یک توالی خاص داشتند، و متعاقباً یک توکن بازیابی میشد که بارگیری یک بار مخرب نهایی را از یک سرور راه دور تسهیل میکرد.
شرکت اطلاعاتی تهدیدات متعلق به گوگل Mandiant این فعالیت را به عامل تهدیدی که تحت نام UNC4899 ردیابی میکند نسبت داد، که احتمالاً با خوشههایی که قبلاً تحت نظارت هستند بهعنوان Jade Sleet و TraderTraitor، گروهی با سابقهای در بخشهای بلاک چین و ارزهای دیجیتال، همپوشانی دارند.
UNC4899 همچنین با APT43، یکی دیگر از خدمه هک مرتبط با جمهوری دموکراتیک خلق کره (DPRK) همپوشانی دارد که در اوایل ماه مارس به عنوان یک سری کمپین برای جمعآوری اطلاعات و جذب ارزهای دیجیتال از شرکتهای هدف، افشا شد.
روش عملیاتی گروه متخاصم با استفاده از جعبههای رله عملیاتی (ORB) با استفاده از تونلهای IPsec L2TP همراه با ارائهدهندگان VPN تجاری برای پنهان کردن نقطه مبدأ واقعی مهاجم مشخص میشود، و سرویسهای VPN تجاری به عنوان پرش نهایی عمل میکنند.
این شرکت در تحلیلی که روز دوشنبه منتشر شد، گفت: "موارد زیادی وجود داشته است که عوامل تهدید کره شمالی از آخرین پرش استفاده نکرده اند، یا به اشتباه از آن در هنگام انجام عملیات در شبکه قربانی استفاده نکرده اند."
نفوذ علیه JumpCloud در 22 ژوئن 2023 به عنوان بخشی از یک کمپین پیچیده spear-phishing که از دسترسی غیرمجاز برای نفوذ به کمتر از پنج مشتری و کمتر از 10 سیستم در آنچه حمله زنجیره تامین نرم افزار نامیده می شود، استفاده کرد.
یافتههای Mandiant مبتنی بر پاسخ حادثهای است که پس از یک حمله سایبری علیه یکی از مشتریان تحت تأثیر JumpCloud، یک موجودیت راهحلهای نرمافزاری ناشناس، آغاز شد، که نقطه شروع یک اسکریپت مخرب Ruby ("init.rb") است که از طریق عامل JumpCloud در 27 ژوئن 2020 اجرا شد.
یکی از جنبههای قابل توجه این حادثه، هدف قرار دادن چهار سیستم اپل است که دارای macOS Ventura نسخههای 13.3 یا 13.4.1 هستند، که نشاندهنده سرمایهگذاری مستمر بازیگران کرهشمالی در تقویت بدافزارهای مخصوص این پلتفرم در ماههای اخیر است.
این شرکت توضیح داد: «دسترسی اولیه با به خطر انداختن JumpCloud و درج کدهای مخرب در چارچوب دستورات آنها به دست آمد. حداقل در یک مورد، کد مخرب یک اسکریپت روبی سبک وزن بود که از طریق عامل JumpCloud اجرا شد.
این اسکریپت به نوبه خود برای دانلود و اجرای یک بار مرحله دوم به نام FULLHOUSE.DOORED طراحی شده است که از آن به عنوان مجرای برای استقرار بدافزارهای اضافی مانند STRATOFEAR و TIEDYE استفاده می کند و پس از آن بارهای قبلی در تلاش برای پوشاندن مسیرها از سیستم حذف شدند -
FULLHOUSE.DOORD - یک درب پشتی مرحله اول مبتنی بر C/C++ که با استفاده از HTTP ارتباط برقرار می کند و از اجرای دستورات پوسته، انتقال فایل، مدیریت فایل و تزریق فرآیند پشتیبانی می کند.
STRATOFEAR - یک ایمپلنت مدولار مرحله دوم که عمدتاً برای جمع آوری اطلاعات سیستم و همچنین بازیابی و اجرای ماژول های بیشتر از یک سرور راه دور یا بارگذاری شده از دیسک طراحی شده است.
TIEDYE - یک فایل اجرایی Mach-O مرحله دوم که می تواند با یک سرور راه دور برای اجرای بارهای اضافی، جمع آوری اطلاعات اولیه سیستم و اجرای دستورات پوسته ارتباط برقرار کند.
همچنین گفته میشود که TIEDYE شباهتهایی به RABBITHUNT دارد، یک درب پشتی نوشته شده در C++ که از طریق یک پروتکل باینری سفارشی روی TCP ارتباط برقرار میکند و قادر به پوسته معکوس، انتقال فایل، ایجاد فرآیند و خاتمه فرآیند است.
Mandiant گفت: "کمپینی که JumpCloud را هدف قرار می دهد، و گزارش قبلی به خطر افتادن زنجیره تامین کره شمالی از اوایل امسال که بر برنامه Trading Technologies X_TRADER و نرم افزار 3CX Desktop App تاثیر گذاشت، نمونه ای از اثرات آبشاری این عملیات برای دسترسی به ارائه دهندگان خدمات به منظور به خطر انداختن قربانیان پایین دست است."
هر دو عملیات مشکوک به ارتباط با بازیگران با انگیزه مالی در کره شمالی هستند که نشان می دهد اپراتورهای کره شمالی در حال اجرای TTP های زنجیره تامین برای هدف قرار دادن نهادهای منتخب به عنوان بخشی از تلاش های افزایش یافته برای هدف قرار دادن ارزهای دیجیتال و دارایی های مرتبط با فین تک هستند.
این توسعه چند روز پس از هشدار GitHub در مورد حمله مهندسی اجتماعی انجام شده توسط بازیگر TraderTraitor برای فریب کارمندان شاغل در شرکتهای بلاک چین، ارزهای دیجیتال، قمار آنلاین و امنیت سایبری انجام میشود تا کدهای میزبانی شده در مخزن GitHub را اجرا کنند که بر روی بستههای مخرب pm متکی است.
مشخص شده است که زنجیره عفونت از وابستگیهای مخرب npm برای دانلود یک بار ناشناخته مرحله دوم از یک دامنه تحت کنترل بازیگر استفاده میکند. از آن زمان این بسته ها حذف شده و حساب ها به حالت تعلیق درآمده اند.
Phylum در یک تحلیل جدید که جزئیات کشف ماژولهای npm جدید مورد استفاده در t را توضیح میدهد، گفت: بستههای شناساییشده، که به صورت جفت منتشر شدهاند، نیاز به نصب در یک توالی خاص داشتند، و متعاقباً یک توکن بازیابی میشد که بارگیری یک بار مخرب نهایی را از یک سرور راه دور تسهیل میکرد.