JumpCloud, een in de VS gevestigd commercieel softwarebedrijf, heeft een datalek gemeld dat het gevolg is van een geavanceerde spear-phishingaanval georkestreerd door een niet-geïdentificeerde bedreigende actor uit een natiestaat. De aanvaller slaagde erin om ongeautoriseerd toegang te krijgen tot de systemen van JumpCloud en richtte zijn illegale activiteiten op een kleine, specifieke klantengroep.

Spear phishing is een gerichte phishingaanval waarbij een aanvaller zich voordoet als een vertrouwde bron om ogenschijnlijk legitieme berichten te sturen naar een specifieke persoon, organisatie of bedrijf. Het doel is om vertrouwelijke informatie te ontfutselen, malware te downloaden of het doelwit financieel op te lichten.

JumpCloud is een cloudgebaseerd directory-as-a-service platform dat een veilige manier biedt om gebruikersidentiteiten, apparaten en toegang te beheren op verschillende platforms, zoals VPN, Wi-Fi, servers en werkstations.

Lees ook: “Telegram-kanalen medeplichtig aan verspreiding kinderpornografie via Hikvision-camera’s”.

Een dreigingsactor van een natiestaat wordt gedefinieerd als een door de overheid gesponsorde groep die op illegale wijze netwerken van andere overheden of industriegroepen binnendringt en compromitteert. Hun intentie kan variëren van het stelen van informatie tot het veroorzaken van schade of het wijzigen van gegevens.

Deze actoren zijn vooral berucht vanwege hun vermogen om hun activiteiten te maskeren, waardoor het moeilijk is om hun acties te herleiden naar het land van herkomst. Ze gebruiken vaak “valse vlaggen” om cyberonderzoekers te misleiden.

Het bedrijf ontdekte de schadelijke activiteit op 27 juni. Hoewel ze op dat moment geen directe impact vonden, namen ze snel beschermende maatregelen. Dit omvatte het reconstrueren van de infrastructuur en het implementeren van extra netwerk- en perimeterbeveiligingsmaatregelen. Ze werkten ook samen met Incident Response (IR) partners voor systeemanalyse en namen contact op met de wetshandhaving voor verder onderzoek.

Op 5 juli, om 3:35 UTC, ontdekten ze meer ongewone activiteit binnen de commandoraamwerken. Op dit punt vonden ze bewijs van impact op klanten en werkten ze nauw samen met de getroffen klanten om hun beveiliging te verbeteren.

Als reactie op deze bevindingen heeft de organisatie vanaf 5 juli om 23:11 UTC alle admin API-sleutels geforceerd geroteerd. Ze ontdekten dat de aanvallers de gegevens binnen het commandoraamwerk hadden gemanipuleerd en zich expliciet op specifieke klanten hadden gericht.

Deze gebeurtenis heeft geleid tot een verhoogd bewustzijn binnen de organisatie, wat resulteerde in de ontwikkeling en verspreiding van een lijst met waargenomen IOC’s (Indicators of Compromise) die verband houden met deze campagne.