北韩黑客组织 UNC4899 针对加密货币行业的供应链攻击

关键要点

Mandiant Consulting 确认 UNC4899 是针对 JumpCloud 客户的供应链攻击的执行者。UNC4899 是与加密货币相关的北韩威胁组织，隶属于朝鲜人民民主共和国的侦察总局。该组织持续针对区块链企业，并已在过去一年中进行了多起供应链攻击。专家警告，SaaS 应用和服务提供商成为供应链攻击的主要目标。

Mandiant Consulting 周一确认，JumpCloud 最近供应链攻击中识别出的五名客户之一的攻击是由北韩威胁组织 UNC4899 所为。这个组织以针对加密货币行业的公司而闻名。

在 7 月 24 日的一篇博客文章中，Mandiant 的研究人员表示他们“高度自信”地认为，UNC4899 是一个专注于加密货币的威胁行为者，隶属于朝鲜人民民主共和国的侦察总局。

Mandiant的研究人员指出，UNC4899 很可能与TraderTraitor 这个主要针对区块链相关公司的北韩威胁组织有关联。

在 6 月 27 日研究该事件时，Mandiant 发现了一个通过 JumpCloud 客户的 JumpCloud 代理执行的恶意 Ruby 脚本，这是一家提供软件即服务SaaS解决方案的公司。JumpCloud 在其安全事件披露中确认，此命令框架被用于恶意数据注入。

“与北韩有关的威胁行为者不断提升其网络攻击能力以窃取加密货币，” Mandiant Consulting 和 Google Cloud 的首席技术官 Charles Carmakal 表示，“在过去的一年里，我们看到他们进行了多起供应链攻击，毒化了合法软件，并在 MacOS 系统上开发和部署了自定义恶意软件。他们最终希望能够入侵加密货币公司，并且找到了创造性的路径来实现这一目标。”

白鲸加速器推荐

DoControl 的产品总监 Corey O’Connor 指出，SaaS 应用和服务提供商正成为执行供应链攻击的主要目标。他表示：“一个组织的身份层次就如同新的边界一样，忽视这一现实，并选择不在更深层的堆栈中扩展强大的安全控制，将使组织在面对这种高级国家级攻击时变得脆弱。”

Inversion6 的首席信息安全官 Damir Brescic 也补充道，UNC4899 以其先进的网络能力和对包括金融机构、政府机构及科技公司等多个行业持续的针对性而闻名。

Brescic 说道：“Mandiant 的这次归因突显出保持加密货币行业中强大网络措施的重要性，因为像 UNC4899 这样的威胁行为者继续利用漏洞，追求非法利益。这场复杂的攻击运动专门针对营运在加密货币领域的公司，凸显了该组织对此行业持续感兴趣。”