JumpCloudへのハッキング被害 北朝鮮の脅威アクターとみられる手口をMandiantが解説:Cybersecurity Dive
Mandiantは、JumpCloudへのハッキング被害から始まった一連のサプライチェーン攻撃の実行者について、北朝鮮の脅威アクターの仕業だと断定し、その手口を解説した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ企業のMandiantが2023年7月24日(現地時間、以下同)に発表した調査結果によると、IDやアクセスの管理サービスを提供するJumpCloudの顧客で米国に拠点を置くあるソフトウェア企業は、同年6月のサイバー攻撃被害に遭い、暗号通貨を求める脅威アクターによって4台の「macOS」デバイスが標的にされた(注1)(注2)。
だが、Mandiantはデータが盗まれた証拠を確認しておらず、同社のインシデント対応マネジャーであるマーク・ゴレンビュースキー氏は「連鎖的な侵害を示唆する証拠はなかった」と述べている。
暗躍する北朝鮮の脅威アクター、暗号通貨を狙い高度化した攻撃を展開
ゴレンビュースキー氏は「Mandiantは、一連のサプライチェーン攻撃において下流の被害者全てを完全に把握しているわけではない。しかし私たちが確認できる範囲では、このキャンペーンによって暗号通貨は盗まれなかった」と話した。
Mandiantは。認証情報と偵察データが標的となったことを受けて、この攻撃の実行者について北朝鮮に関連する攻撃者「UNC4899」だと断定した。UNC4899は、連邦当局が「TraderTraitor」として特定しているグループと一致する可能性が高いとMandiantは述べている(注3)。
JumpCloudのインシデント対応パートナーであるCrowdStrikeは、積極的に活動するこの攻撃者を「Labyrinth Chollima」だと断定している(注4)。これは北朝鮮の脅威アクター「Lazarus」のサブグループであり、少なくとも2009年から活動している。
ゴレンビュースキー氏は「攻撃者の戦術や技術、手順は斬新なものだ。これはサプライチェーン攻撃とmacOSのシステムを通じて暗号通貨を狙う脅威アクターの進化と高度化を示している」と指摘している。
JumpCloudは以前、同サイバー攻撃の影響は5人未満の顧客と10台未満のデバイスに限定されていると主張していた(注5)。仮にこれらの数値が正しいとするならば、Mandiantが被害者の1人と実施したインシデント対応作業は、攻撃によって侵害された全デバイスの少なくとも40%に及ぶことになる。
JumpCloudは、2023年7月20日の最新セキュリティインシデントの更新以降に明らかになった新たな事実についての質問や要求には回答しなかった。
Mandiantが脅威アクターの侵害手順を解説
Mandiantは標的となった4台のmacOSデバイスの分析において、ファイルの作成や変更、権限の変更を含む攻撃者の操作手順を観察した。
Mandiantはブログの投稿で「最初のアクセスはJumpCloudを侵害し、そのコマンドフレームワークに悪意のあるコードを挿入することによって実行された。悪意のあるコードは軽量のRubyスクリプトであり、『JumpCloud Agent』を介して実行された」と解説している。
「このスクリプトには、侵害の第2段階として悪意のあるコードをダウンロードして実行する指示が含まれていた。被害者のシステムに初めてアクセスしてから24時間以内に、攻撃者は追加のバックドアを展開し、plistを介して持続的にアクセスできる状態を構築した。そして、初期の悪意のあるコードと第2段階で使用されたバックドアはシステムから削除された」(Mandiant)
Mandiantは、JumpCloudとその顧客の一部に対する攻撃および2023年4月に実行されたTrading Technologiesと3CXに対する多層的なサプライチェーン攻撃について(注6)、サプライチェーン攻撃の連鎖的な影響の一例だと指摘している。この攻撃において脅威アクターはサービスプロバイダーへのアクセスを得て、下流の被害者も侵害していた。
(注1)Cyberattack compromised JumpCloud customer environments(Cybersecurity Dive)
(注2)North Korea Leverages SaaS Provider in a Targeted Supply Chain Attack(Mandiant)
(注3)TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies(CISA)
(注4)Labyrinth Chollima(CrowdStrike)
(注5)JumpCloud cyberattack hits up to 5 customers, 10 devices(Cybersecurity Dive )
(注6)3CX attack caused by another supply chain attack, Mandiant says(Cybersecurity Dive)
関連記事
Microsoftの“ずさんなセキュリティ対策”に非難集中 おわびのログ機能無料提供へ
Microsoftは、顧客の電子メールアカウントがハッキング被害に遭った件を受けて、クラウドセキュリティログ機能を無償で提供する予定だ。同社はこの件について連邦政府や競合他社から厳しい批判を受けている。
Netflix、Disney+もいよいよ対策に本腰 「アカウント共有問題」について考える
動画配信サービスでしばしば問題に挙がる「アカウント共有問題」。今まで黙認されてきたこの行為ですが今後はNetflixやDisney+なども対策に本腰を入れるようです。セキュリティの観点からこの問題を考えてみます。
LinkedInで大規模なハッキングキャンペーンが進行中 ユーザーは直ちに確認を
CyberintはLinkedInのアカウント窃取キャンペーンが進行中で多数のアカウントが影響を受けていると報告した。窃取されたアカウントは身代金要求や二次被害のリスクがある。
76万人に影響か Discord.ioのユーザーデータが漏えい
Discordサーバでカスタム招待を作成できるサービス「Discord.io」で、76万人のユーザーデータが漏えいしたとみられる。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。