北韩骇客集团危机：JumpCloud供应链攻击

文章重点

北韩的 Lazarus Group 被确定为针对 JumpCloud 的供应链攻击的主要罪犯。JumpCloud 在发现其 API 密钥的安全事故后，与 CrowdStrike 共同调查此事件。Lazarus Group 拥有丰富的供应链攻击经验，以此手段成功渗透金融及加密货币行业。

最近的调查显示，与北韩有关的 Lazarus Group 成功策划了一次供应链攻击，目标是针对各种加密货币和区块链平台的 JumpCloud。这一事件发生在科罗拉多州的软体公司通知客户其 API 密钥无效化的两周后。

根据 SentinelLabs 在 7月20日的一篇部落格文章，研究人员表示他们确定 JumpCloud 颁布的 危险指标 (IOCs) 与北韩的先进持久性威胁 (APT) 集团有关联。“我们能够看到攻击者使用的伺服器基础设施之间存在联系，”SentinelLabs 的资深威胁研究员 Tom Hegel 表示。“在此案例中，我们能将这些 IOCs 与 DPRK所拥有和运营的独特基础设施连接，从而进行高度自信的归因评估。”

Hegel 在 推特上发布 确认这次攻击与 Lazarus Group 相关，该集团在2014年曾策划 Sony 骇客事件以及2017年的 WannaCry 论坛事件。Hegel 提到：“我们非常有信心能将 JumpCloud 入侵的 IOCs 归因于北韩威胁行为者。”

在 JumpCloud 于7月20日的更新中，CISO Bob Phan 确认公司正在与 CrowdStrike 合作应对这次事件。Phan 补充称，受到北韩骇客攻击的客户少于五家，总计有 10 台设备可能受到影响。

SentinelLabs 在周四的部落格中提到，JumpCloud 入侵显示了 Lazarus Group 对供应链攻击的兴趣，这种攻击模式可以导致多次后续的入侵。研究人员指出，DPRK 展示出对挑选高价值目标以进行供应链攻击的深刻理解。

同样在周四，根据 路透社的报导，CrowdStrike 确认，Lazarus Group 的子集 Labyrinth Chollima 参与了这次入侵事件。

小火箭shadowrocket

Tanium 的首席安全顾问 Timothy Morris 提到，Lazarus Group 近期也参与了 3CX 的供应链攻击。Morris 指出，3CX 攻击产生了多个目标，这使得 JumpCloud 攻击很可能针对金融和加密货币领域的更多受害者。“JumpCloud 的首页显示了许多此类公司，例如 GoFundMe，”Morris 说。“攻击者在 JumpCloud 的网络中潜伏了两周而未被发现，随后又在 JumpCloud 客户的子集中潜伏强化了一周。我怀疑这会有更多受害者浮现，正如大多数供应链攻击所表现的那样，对于攻击者来说这是一种利润丰厚的行为。”

Mandiant 周四报导称，正在与一位因 JumpCloud 入侵而受到影响的下游受害者合作。根据初步分析，Mandiant