米国に本拠を置くエンタープライズソフトウェア会社JumpCloudは、国家支援のハッカー集団がほぼ1カ月前、限られた顧客を狙った高度に標的を絞った攻撃の一環として同社のシステムに侵入したと発表した。
同社は、攻撃者がスピアフィッシング攻撃によってシステムに侵入してから1週間後の6月27日にこの事件を発見した。
JumpCloud は当時、顧客が影響を受けたという証拠は見つかりませんでしたが、認証情報をローテーションし、侵害されたインフラストラクチャを再構築することを決定しました。
7 月 5 日、JumpCloud は、IR パートナーおよび法執行機関と協力して攻撃を調査し、悪意のある活動の兆候がないかログを分析しているときに、「少数の顧客向けのコマンド フレームワークにおける異常な活動」を発見しました。
同日、同社は顧客の組織を保護するためにすべての管理 API キーを強制ローテーションし、新しいキーを生成するよう通知しました。
JumpCloud CISO の Bob Phan 氏は、「継続的な分析により、コマンド フレームワークへのデータ注入という攻撃ベクトルが明らかになりました。また、この分析により、攻撃が極めて標的を絞っており、特定の顧客に限定されていたという疑いも確認されました」と述べています。
「これらは高度な能力を備えた洗練された執拗な敵です。私たちの最も強力な防御線は情報共有と協力です。」
アドバイザリーで共有されたインシデントの詳細とともに、JumpCloud は、パートナーが同じ脅威グループによる同様の攻撃からネットワークを保護できるようにする侵害の兆候 (IOC)もリリースしました。
JumpCloud はまだ、攻撃の影響を受けた顧客の数に関する情報を提供しておらず、侵害の背後にある APT グループと特定の州との関連付けも行っていません。
ファン氏は「当社は今後も顧客を将来の脅威から守るため独自のセキュリティ対策を強化し続けるとともに、政府や業界パートナーと緊密に連携してこの脅威に関する情報を共有していく」と述べた。
JumpCloud は 1 月に、 CircleCI セキュリティ インシデントが顧客に与える潜在的な影響も調査しました。
2013 年に設立され、コロラド州ルイビルに本社を置く JumpCloud Directory-as-a-Service プラットフォームは、160 か国以上の 180,000 以上の組織にシングル サインオンと多要素認証サービスを提供しています。
Comments