Peretas yang Disponsori Negara Korea Utara Diduga melakukan Serangan Rantai Pasokan JumpCloud
20 Juli 2023Ruang BeritaSerangan Siber / Rantai Pasokan
Analisis terhadap indikator kompromi (IoCs) yang terkait dengan peretasan JumpCloud telah menemukan bukti yang menunjukkan keterlibatan kelompok yang disponsori negara Korea Utara, dengan gaya yang mengingatkan pada serangan rantai pasokan yang menargetkan 3CX.
Temuan ini berasal dari SentinelOne, yang memetakan infrastruktur yang berkaitan dengan intrusi untuk mengungkap pola yang mendasarinya. Perlu dicatat bahwa JumpCloud, minggu lalu, menghubungkan serangan tersebut dengan “aktor ancaman canggih yang disponsori negara” yang tidak disebutkan namanya.
“Aktor ancaman Korea Utara menunjukkan tingkat kreativitas dan kesadaran strategis yang tinggi dalam strategi penargetan mereka,” kata peneliti keamanan SentinelOne, Tom Hegel, kepada The Hacker News. “Temuan penelitian mengungkapkan pendekatan yang sukses dan beragam yang digunakan oleh para aktor ini untuk menyusup ke lingkungan pengembang.”
“Mereka secara aktif mencari akses terhadap alat dan jaringan yang dapat berfungsi sebagai pintu gerbang menuju peluang yang lebih luas. Kecenderungan mereka untuk melakukan berbagai tingkat intrusi rantai pasokan sebelum terlibat dalam pencurian yang bermotif finansial patut diperhatikan.”
Dalam perkembangan terkait, CrowdStrike, yang bekerja sama dengan JumpCloud untuk menyelidiki insiden tersebut, mengaitkan serangan tersebut dengan aktor Korea Utara yang dikenal sebagai Labyrinth Chollima, sebuah subklaster dalam Grup Lazarus yang terkenal, menurut Reuters.
Infiltrasi tersebut digunakan sebagai “batu loncatan” untuk menargetkan perusahaan-perusahaan mata uang kripto, kata kantor berita tersebut, yang mengindikasikan adanya upaya pihak musuh untuk menghasilkan pendapatan ilegal bagi negara yang terkena sanksi tersebut.
Pengungkapan ini juga bertepatan dengan kampanye rekayasa sosial bervolume rendah yang diidentifikasi oleh GitHub yang menargetkan akun pribadi karyawan perusahaan teknologi, menggunakan campuran undangan repositori dan dependensi paket npm yang berbahaya. Akun yang ditargetkan terkait dengan sektor blockchain, cryptocurrency, perjudian online, atau keamanan siber.
Anak perusahaan Microsoft menghubungkan kampanye tersebut dengan kelompok peretas Korea Utara yang dilacaknya dengan nama Jade Sleet (alias TraderTraitor).
“Jade Sleet sebagian besar menargetkan pengguna yang terkait dengan mata uang kripto dan organisasi terkait blockchain lainnya, tetapi juga menargetkan vendor yang digunakan oleh perusahaan tersebut,” kata Alexis Wales dari GitHub dalam laporan yang diterbitkan pada 18 Juli 2023.
Rantai serangan melibatkan pembuatan persona palsu di GitHub dan layanan media sosial lainnya seperti LinkedIn, Slack, dan Telegram, meskipun dalam beberapa kasus pelaku ancaman diyakini telah mengambil kendali atas akun yang sah.
Di bawah persona yang diasumsikan, Jade Sleet memulai kontak dengan target dan mengundang mereka untuk berkolaborasi dalam repositori GitHub, meyakinkan para korban untuk mengkloning dan menjalankan konten, yang menampilkan perangkat lunak umpan dengan dependensi npm berbahaya yang bertindak sebagai malware tahap pertama untuk diunduh dan mengeksekusi payload tahap kedua pada mesin yang terinfeksi.
Paket npm berbahaya, menurut GitHub, adalah bagian dari kampanye yang pertama kali terungkap bulan lalu, ketika Phylum merinci ancaman rantai pasokan yang melibatkan rantai eksekusi unik yang menggunakan sepasang modul palsu untuk mengambil malware yang tidak diketahui dari jarak jauh. server.
SentinelOne dalam analisis terbarunya mengatakan 144.217.92[.]197, alamat IP yang terkait dengan serangan JumpCloud, memutuskan untuk npmaudit[.]com, salah satu dari delapan domain yang terdaftar oleh GitHub yang digunakan untuk mengambil malware tahap kedua. Alamat IP kedua 23.29.115[.]171 peta ke npm-pool[.]organisasi.
“Terbukti bahwa pelaku ancaman Korea Utara terus beradaptasi dan mengeksplorasi metode baru untuk menyusup ke jaringan yang ditargetkan,” kata Hegel. “Intrusi JumpCloud memberikan ilustrasi yang jelas tentang kecenderungan mereka terhadap penargetan rantai pasokan, yang menghasilkan banyak potensi intrusi berikutnya.”
“DPRK menunjukkan pemahaman mendalam tentang manfaat yang diperoleh dari pemilihan target bernilai tinggi secara cermat sebagai titik poros untuk melakukan serangan rantai pasokan ke jaringan yang bermanfaat,” tambah Hegel.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
