Mandiantは、JumpCloudへのハッキング被害から始まった一連のサプライチェーン攻撃の実行者について、北朝鮮の脅威アクターの仕業だと断定し、その手口を解説した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ企業のMandiantが2023年7月24日(現地時間、以下同)に発表した調査結果によると、IDやアクセスの管理サービスを提供するJumpCloudの顧客で米国に拠点を置くあるソフトウェア企業は、同年6月のサイバー攻撃被害に遭い、暗号通貨を求める脅威アクターによって4台の「macOS」デバイスが標的にされた(注1)(注2)。
だが、Mandiantはデータが盗まれた証拠を確認しておらず、同社のインシデント対応マネジャーであるマーク・ゴレンビュースキー氏は「連鎖的な侵害を示唆する証拠はなかった」と述べている。
ゴレンビュースキー氏は「Mandiantは、一連のサプライチェーン攻撃において下流の被害者全てを完全に把握しているわけではない。しかし私たちが確認できる範囲では、このキャンペーンによって暗号通貨は盗まれなかった」と話した。
Mandiantは。認証情報と偵察データが標的となったことを受けて、この攻撃の実行者について北朝鮮に関連する攻撃者「UNC4899」だと断定した。UNC4899は、連邦当局が「TraderTraitor」として特定しているグループと一致する可能性が高いとMandiantは述べている(注3)。
JumpCloudのインシデント対応パートナーであるCrowdStrikeは、積極的に活動するこの攻撃者を「Labyrinth Chollima」だと断定している(注4)。これは北朝鮮の脅威アクター「Lazarus」のサブグループであり、少なくとも2009年から活動している。
ゴレンビュースキー氏は「攻撃者の戦術や技術、手順は斬新なものだ。これはサプライチェーン攻撃とmacOSのシステムを通じて暗号通貨を狙う脅威アクターの進化と高度化を示している」と指摘している。
JumpCloudは以前、同サイバー攻撃の影響は5人未満の顧客と10台未満のデバイスに限定されていると主張していた(注5)。仮にこれらの数値が正しいとするならば、Mandiantが被害者の1人と実施したインシデント対応作業は、攻撃によって侵害された全デバイスの少なくとも40%に及ぶことになる。
JumpCloudは、2023年7月20日の最新セキュリティインシデントの更新以降に明らかになった新たな事実についての質問や要求には回答しなかった。
Mandiantは標的となった4台のmacOSデバイスの分析において、ファイルの作成や変更、権限の変更を含む攻撃者の操作手順を観察した。
Mandiantはブログの投稿で「最初のアクセスはJumpCloudを侵害し、そのコマンドフレームワークに悪意のあるコードを挿入することによって実行された。悪意のあるコードは軽量のRubyスクリプトであり、『JumpCloud Agent』を介して実行された」と解説している。
「このスクリプトには、侵害の第2段階として悪意のあるコードをダウンロードして実行する指示が含まれていた。被害者のシステムに初めてアクセスしてから24時間以内に、攻撃者は追加のバックドアを展開し、plistを介して持続的にアクセスできる状態を構築した。そして、初期の悪意のあるコードと第2段階で使用されたバックドアはシステムから削除された」(Mandiant)
Mandiantは、JumpCloudとその顧客の一部に対する攻撃および2023年4月に実行されたTrading Technologiesと3CXに対する多層的なサプライチェーン攻撃について(注6)、サプライチェーン攻撃の連鎖的な影響の一例だと指摘している。この攻撃において脅威アクターはサービスプロバイダーへのアクセスを得て、下流の被害者も侵害していた。
(注1)Cyberattack compromised JumpCloud customer environments(Cybersecurity Dive)
(注2)North Korea Leverages SaaS Provider in a Targeted Supply Chain Attack(Mandiant)
(注3)TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies(CISA)
(注4)Labyrinth Chollima(CrowdStrike)
(注5)JumpCloud cyberattack hits up to 5 customers, 10 devices(Cybersecurity Dive )
(注6)3CX attack caused by another supply chain attack, Mandiant says(Cybersecurity Dive)
© Industry Dive. All rights reserved.