Hackers estatais norte-coreanos exploraram um provedor de serviços em nuvem chamado JumpCloud para roubar fundos de empresas cripto que usam seus serviços, informou a Reuters em 20 de julho.
As fontes confidenciais de Reuter indicam que os hackers apoiados pelo estado norte-coreano tinham um foco específico em empresas de criptomoedas. No entanto, o relatório não divulgou os nomes das empresas afetadas ou a quantidade exata de criptomoeda supostamente roubada.
A Crowdstrike, uma empresa de segurança cibernética que colabora com a JumpCloud para investigar o incidente, atribuiu o ataque a um grupo conhecido como Labyrinth Chollima. Embora o representante da Crowdstrike não tenha confirmado se alguma criptomoeda foi roubada, ele observou o histórico do grupo de visar empresas de criptomoedas.
Em uma atualização em 20 de julho, JumpCloud anunciado A Coreia do Norte como perpetradora do ataque também divulgou que menos de cinco dos 200.000 clientes corporativos da empresa e menos de 10 dispositivos foram afetados.
Anteriormente, a empresa descreveu uma campanha de spear phishing conduzida por um “sofisticado agente de ameaças patrocinado por um estado-nação”. A empresa disse que o ataque começou em 22 de junho e disse que detectou essas atividades em 27 de junho.
A JumpCloud disse que não encontrou nenhuma indicação de que os clientes foram afetados naquele momento. A empresa, no entanto, atualizou as credenciais e tomou medidas extras para preservar a segurança; também contatou a aplicação da lei. No entanto, em 5 de julho, a empresa descobriu uma atividade adicional que afetou seus clientes, que foram informados da situação.
JumpCloud diz que os invasores são avançados
A JumpCloud chamou os invasores de “adversários sofisticados e persistentes com recursos avançados” e disse que a melhor defesa envolve o compartilhamento de informações.
A JumpCloud disse que o vetor de ataque envolvia injeção de dados em sua estrutura de comandos. O ataque foi considerado altamente direcionado e específico para determinados clientes. O ataque produziu uma lista de IOCs (Indicators of Compromise), que o JumpCloud compartilhou.
Atacantes norte-coreanos estiveram envolvidos em outros ataques criptográficos, incluindo aqueles contra Axie Infinity e ponte do horizonte. Estimativas de Chainalysis sugerem que grupos norte-coreanos roubaram US$ 1,7 bilhão em meio a US$ 3,8 bilhões em roubos de criptomoedas mais amplos em 2022.
o posto Hackers norte-coreanos exploraram serviço de nuvem compartilhada para roubar empresas de criptomoedas apareceu primeiro em CryptoSlate.
