Der Cloud-basierte IT-Verwaltungsdienst JumpCloud hat kürzlich Details aus der Untersuchung der Kompromittierung in sein Netzwerk veröffentlicht. Zusammen mit den aktualisierten Details teilte das Unternehmen auch eine Liste der zugehörigen Kompromittierungsindikatoren (IOCs) mit, die auf einen ungenannten „hochentwickelten, vom Staat gesponserten Bedrohungsakteur“ schließen lassen.
Die Überprüfung der neu veröffentlichten Kompromittierungsindikatoren durch SentinelLabs, die Forschungsabteilung von SentinelOne, hat ergeben, dass es sich bei der Gruppe um eine vom nordkoreanischen Staat gesponserte APT (Advance Persistent Threat) handelt. Die IOCs sind mit einer Vielzahl von Aktivitäten verknüpft, die wir der DVRK zuschreiben, die insgesamt auf die Lieferkette abzielen, wie sie in früheren Kampagnen beobachtet wurde.
Analyse der Infrastruktur
Auf der Grundlage der bereitgestellten IOCs konnten die Sicherheitsforscher die Infrastruktur des Bedrohungsakteurs analysieren. Durch die Darstellung der Infrastruktur bestehend aus den Domänen und IP-Adressen, ist es möglich, die Verbindungen zwischen den verschiedenen IP-Adressen aufzuzeigen und verschiedene Muster zu erkennen.
Es ist nicht ratsam, Warnungen nur für 192.185.5[.]189 auszulösen, da es sich um einen gemeinsam genutzten Hosting-Server für viele Domänen handelt und nicht um einen Indikator für böswillige Aktivitäten an sich. Allerdings hat toyourownbeat[.]com ein gemeinsames SSL-Zertifikat mit skylerhaupt[.]com, was auf eine mögliche Beziehung zwischen den Eigentümern hinweist.
Der vom betroffenen Unternehmen freigegebene Indikator 144.217.92[.]197 beherbergt keine der veröffentlichten Domänen, aber es wurde eine ähnliche entdeckt: npmaudit[.]com, die erst kürzlich von GitHubim Zusammenhang mit einer eigenen Warnung freigegeben wurde. Ausgehend von den öffentlichen Details, die zu diesem Zeitpunkt verfügbar sind, ist unklar, ob die GitHub-Warnung auf diesen aktuellen Vorfall zurückgeht oder ob es sich um separate Bemühungen desselben Angreifers handelt.
Auch wenn das allein kein starker Indikator für eine Zuordnung ist, ist es doch bemerkenswert, dass bestimmte Muster in der Art und Weise, wie die Domains aufgebaut und verwendet werden, anderen von SentinelLabs verfolgten Kampagnen mit Nordkorea-Bezug ähneln. Zu den Indikatoren, bei denen eine Verbindung zu den Akteuren vermutet wird, die aber zum jetzigen Zeitpunkt noch nicht verifiziert wurden, gehören junknomad[.]com und insatageram[.]com (registriert bei jeanettar671belden[@]protonmail[.]com).
Anhand des Profils der mit dieser Kompromittierung und der GitHub-Sicherheitswarnung verbundenen Infrastruktur können weitere mit der Bedrohung verbundene Aktivitäten ermitteln werden. So lassen sich beispielsweise eindeutige Verbindungen zu anderen NPM- und „Paket“-bezogenen Infrastrukturen erkennen, die wir mit hohem bis mittlerem Vertrauen in Verbindung bringen, wie in der folgenden Liste aufgeführt. Diese Liste wird durch die Ergebnisse und den Blog von Phylum von Ende Juni noch erweitert.
Ausblick
Es ist offensichtlich, dass nordkoreanische Bedrohungsakteure ständig neue Methoden zur Infiltration von Zielnetzwerken erforschen und entwickeln. Die Kompromittierung von JumpCloud ist ein klarer Beleg für ihre Vorliebe für gezielte Angriffe auf die Lieferkette, die eine Vielzahl potenzieller weiterer Angriffe nach sich ziehen. Die Bedrohungsakteure aus Nordkorea zeigen ein tiefes Verständnis für die Vorteile, die sich aus der sorgfältigen Auswahl hochwertiger Ziele als Dreh- und Angelpunkt für die Durchführung von Angriffen auf die Lieferkette kritischer Netzwerke ergeben. Es ist also auch in Zukunft mit einer steigenden Anzahl und Qualität dieser hochentwickelten Cyberattacken zu rechnen.
www.sentinelone.com