NUEVA ACTIVIDAD DE GRUPO LAZARUS A JUMPCLOUD

21/07/2023

BOLETÍN NRO 2023-543

Recientemente, la empresa de software empresarial con sede en EE. UU. JumpCloud fue atacada por ciberdelincuentes informáticos de Corea del Norte Lazarus Group, según investigadores de seguridad.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA Amenaza: Lazarus Group                                  Categoría: Ataque Cibernetico El 27 de junio del 2023, JumpCloud descubrió un incidente en el que "un actor de amenazas sofisticado patrocinado por un estado nacional" violó sus sistemas a través de un ataque de phishing. Aunque no hubo evidencia inmediata del impacto en el cliente, JumpCloud rotó proactivamente las credenciales y reconstruyó la infraestructura comprometida como medida de precaución. Durante la investigación, el 5 de julio del 2023, JumpCloud detectó "actividad inusual en el marco de comandos para un pequeño grupo de clientes". En colaboración con los socios de respuesta a incidentes y las fuerzas del orden, también analizó los registros en busca de signos de actividad maliciosa y forzó la rotación de todas las claves API de administración. En un aviso publicado el 12 de julio del 2023, JumpCloud compartió detalles del incidente y publicó indicadores de compromiso (IOC) para ayudar a los socios a proteger sus redes contra ataques del mismo grupo. Indicadores de Compromiso IP 51[.]254[.]24[.]19 185[.]152[.]67[.]39 70[.]39[.]103[.]3 66[.]187[.]75[.]186 104[.]223[.]86[.]8 23[.]95[.]182[.]5 78[.]141[.]223[.]50 116[.]202[.]251[.]38 89[.]44[.]9[.]202 192[.]185[.]5[.]189 162[.]241[.]248[.]14 179[.]43[.]151[.]196 45[.]82[.]250[.]186 162[.]19[.]3[.]23 144[.]217[.]92[.]197 23[.]29[.]115[.]171 167[.]114[.]188[.]40 91[.]234[.]199[.]179 Dominio nomadpkgs[.]com centos-repos[.]org datadog-cloud[.]com toyourownbeat[.]com datadog-graph[.]com centos-pkg[.]org primerosauxiliosperu[.]com zscaler-api[.]org nomadpkg[.]com launchruse[.]com reggedrobin[.]com canolagroove[.]com alwaysckain[.]com

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: JumpCloud breach traced back to North Korean state hackers
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

Este boletín es de carácter informativo, con información obtenida de páginas web externas. Se recomienda verificar y consultar con su especialista antes de tomar cualquier acción basada en la información del boletín. No se asume responsabilidad alguna por pérdidas o daños que surjan del uso de la información compartida en el boletín. Al utilizar el boletín, acepta estas condiciones y entiende que la responsabilidad recae exclusivamente en el usuario, no en SECURESOFT ni en su personal, respecto a cualquier decisión tomada en base a la información y recomendaciones proporcionadas en este boletín.

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​