محققان می گویند هکرهای کره شمالی که JumpCloud را هدف قرار داده اند، به اشتباه آدرس IP آنها را فاش کرده اند
به گزارش سایت نود و هشت زوم محققان می گویند هکرهای کره شمالی که JumpCloud را هدف قرار داده اند، به اشتباه آدرس IP آنها را فاش کرده اند
که در این بخش به محتوای این خبر با شما کاربران گرامی خواهیم پرداخت
محققان امنیتی می گویند به دلیل اشتباهی که هکرها مرتکب شدند، اطمینان زیادی دارند که هکرهای کره شمالی در پس نفوذ اخیر در شرکت نرم افزاری سازمانی JumpCloud بوده اند.
Mandiant که به یکی از مشتریان آسیب دیده JumpCloud کمک می کند، این رخنه را به هکرهایی نسبت داد که برای اداره عمومی شناسایی کره شمالی یا RGB، یک واحد هکری که شرکت های ارزهای دیجیتال را هدف قرار می دهد و رمزهای عبور مدیران و تیم های امنیتی را می دزدد. کره شمالی مدتهاست که از دزدی رمزارز برای تامین مالی برنامه تسلیحات هستهای تحریم شده خود استفاده میکند.
Mandiant در یک پست وبلاگی گفت که واحد هک، که آن را UNC4899 مینامد (از آنجایی که یک گروه تهدید جدید و طبقهبندی نشده است)، به اشتباه آدرسهای IP دنیای واقعی خود را افشا کرده است. هکرهای کره شمالی اغلب از سرویسهای VPN تجاری برای پنهان کردن آدرسهای IP خود استفاده میکنند، اما در «بسیاری مواقع» VPNها کار نمیکنند یا هکرها هنگام دسترسی به شبکه قربانی از آنها استفاده نمیکنند و دسترسی آنها از پیونگ یانگ را فاش میکنند.
Mandiant گفت که شواهد آن نشان می دهد که این یک “لغزش OPSEC” است، با اشاره به امنیت عملیاتی – روشی که در آن هکرها سعی می کنند از درز اطلاعات مربوط به فعالیت خود به عنوان بخشی از کمپین های هک خود جلوگیری کنند. محققان گفتند همچنین زیرساخت های اضافی مورد استفاده در این نفوذ را کشف کردند که قبلاً توسط هک های منتسب به کره شمالی استفاده می شد.
«بازیگران تهدید کره شمالی به بهبود قابلیتهای تهاجمی سایبری خود برای سرقت ارزهای دیجیتال ادامه میدهند. چارلز کارماکال، مدیر ارشد فناوری Mandiant، گفت: در طول سال گذشته، ما شاهد انجام حملات متعدد زنجیره تامین، مسموم کردن نرمافزارهای قانونی و توسعه و استقرار بدافزارهای سفارشی بر روی سیستمهای MacOS بودهایم. آنها در نهایت میخواهند شرکتها را با ارزهای دیجیتال به خطر بیاندازند و راههای خلاقانهای برای رسیدن به آن پیدا کردهاند. اما آنها همچنین اشتباهاتی مرتکب می شوند که به ما کمک کرده است تا چندین نفوذ را به آنها نسبت دهیم.”
SentinelOne و CrowdStrike همچنین تأیید کردند که کره شمالی در پشت حمله JumpCloud قرار دارد.
JumpCloud هفته گذشته در یک پست کوتاه گفت که کمتر از پنج مشتری شرکتی و کمتر از 10 دستگاه مورد هدف کمپین هک کره شمالی قرار گرفته اند. JumpCloud پس از گزارش یک نفوذ در ماه ژوئن، کلیدهای API مشتری خود را بازنشانی کرد. JumpCloud بیش از 200000 مشتری سازمانی از جمله GoFundMe، ClassPass و Foursquare دارد.
امیدواریم از این مقاله مجله نود و هشت زوم نیز استفاده لازم را کرده باشید و در صورت تمایل آنرا با دوستان خود به اشتراک بگذارید و با امتیاز از قسمت پایین و درج نظرات باعث دلگرمی مجموعه مجله 98zoom باشید
لینک کوتاه مقاله : https://5ia.ir/LkmTEa
کوتاه کننده لینک
کد QR :
آخرین دیدگاهها