خرق

[محدث] حادث الأمن السيبراني في CloudSek

لقد تعلمنا الكثير من هذا الهجوم وحددنا عيبًا أمنيًا خطيرًا في منتجات Atlassian. تحقق من ذلك هنا بتوقيت جرينتش 4.30 مساءً في 6 ديسمبر. نحن نحقق في هجوم إلكتروني مستهدف على CloudSek. تم اختراق كلمة مرور Jira الخاصة بالموظف للوصول إلى صفحات الالتقاء الخاصة بنا. بالإضافة إلى ذلك، لدى المهاجم بعض التفاصيل الداخلية.

December 6, 2022

دقيقة

جدول المحتوى

مثال H2

لقد تعلمنا الكثير من هذا الهجوم وحددنا عيبًا أمنيًا خطيرًا في منتجات Atlassian. تحقق من ذلك هنا

بتوقيت جرينتش 4.30 مساء 6 ديسمبر.

نحن نحقق في هجوم إلكتروني مستهدف على CloudSek. تم اختراق كلمة مرور Jira الخاصة بالموظف للوصول إلى صفحات الالتقاء الخاصة بنا. بالإضافة إلى ذلك، يمتلك المهاجم بعض التفاصيل الداخلية مثل لقطات الشاشة وتقارير الأخطاء وأسماء العملاء ومخططات المخطط.
لم يتم اختراق أي قاعدة بيانات أو وصول إلى الخادم. نحن نحقق في التفاصيل، وستتم مشاركة المزيد من المعلومات معك عندما نكتشفها. أشكركم على ثقتكم. كنا نؤمن دائمًا بالشفافية. ومن ثم بدأنا مدونة لتحديثك بمعلومات حية أثناء التحقيق في التفاصيل.

بتوقيت جرينتش 6.15 مساءً 6 ديسمبر.

نشك في أن شركة Cyber Security سيئة السمعة تعمل على مراقبة الويب المظلم وراء الهجوم. يعود الهجوم والمؤشرات إلى مهاجم له تاريخ مشهور في استخدام تكتيكات مماثلة لاحظناها في الماضي.
انضم ممثل التهديد «sedut» مؤخرًا إلى العديد من منتديات الجرائم الإلكترونية في الخامس والسادس من ديسمبر - مدعيًا أنه يمكنه الوصول إلى شبكات CloudSek، مما أدى إلى اختراق حسابات xVIGil و Codebase و Email و JIRA وحسابات وسائل التواصل الاجتماعي. لا يتمتع المهاجم بسمعة طيبة على Darkweb وأنشأ حساب سوق الويب المظلم خصيصًا لنشر المعلومات المتعلقة بـ CloudDesk.
لم يتم طلب أي فدية من CloudSek، ولم تكن هناك أي علامات على وجود مجموعة جرائم إلكترونية نموذجية.

بتوقيت جرينتش 7.54 مساءً 6 ديسمبر.

فيما يلي ادعاءات الممثل والتعليقات ضد كل مطالبة من CloudSek بناءً على التحقيقات التي أجريناها حتى الآن.

اسم الحادث: ممثل التهديد، ملخص المطالبة، CloudSek، التعليق، الوصول إلى Confluence و JIRA ادعى ممثل التهديد أنه يمكنه الوصول إلى Jira. هذا صحيح وتم التحقق من صحته. الوصول إلى أمر الشراء الخاص بالعملاء، ادعى ممثل التهديد أنه يمكنه الوصول إلى أوامر الشراء من العملاء، وتم الوصول إلى بعض معلومات أمر الشراء التي كانت متاحة على Jira. الوصول إلى حساب Twitterادعى الممثل أن لديه إمكانية الوصول إلى وسائل التواصل الاجتماعي (Twitter). لم يتم اختراق حسابات CloudSek الرئيسية على وسائل التواصل الاجتماعي. بدلاً من ذلك، تم اختراق حساب وسائل التواصل الاجتماعي الذي استخدمناه لتنفيذ إجراءات الإزالة. تم وضع علامة على عدد قليل من عملائنا عبر التغريدات. تم وضع علامة على عدد قليل من الشخصيات الإعلامية عبر التغريدات. لم تكن نية المهاجم هي تسريب البيانات بل إلحاق الضرر بالعلامة التجارية/السمعة.
حساب CloudSek الرئيسي على تويتر- https://twitter.com/cloudsek
حساب تويتر المخترق —https://twitter.com/CloudsekXvigilوصول VPN إلى Xvigil و Bevigil يدعي ممثل التهديد أنه يمكنه الوصول إلى VPN الخاص بنا. لا يمكن الوصول إلى VPN -
لقطات شاشة مأخوذة من صفحات تدريب Jira/Confluence. الوصول إلى قاعدة البيانات يدعي ممثل التهديد أنه يمكنه الوصول إلى قاعدة البيانات الخاصة بنا. لا يمكن الوصول إلى قاعدة البيانات.
لقطات شاشة مأخوذة من صفحات تدريب Jira/Confluence الوصول إلى ElasticSearchيدعي ممثل التهديد أنه يمكنه الوصول إلى قاعدة بيانات البحث المرنة الخاصة بنا. لا يمكن الوصول إلى قاعدة البيانات - لقطات شاشة مأخوذة من صفحات تدريب jira/confluence الوصول إلى قاعدة البيانات

جيتلاب
بيتبوكيت
جيثب

يدعي ممثل التهديد أنه يمكنه الوصول إلى الكود المصدري. لم يتم العثور على أي نشاط مشبوه. الوصول إلى Xvigilيدعي ممثل التهديد أنه يمكنه أيضًا «إضافة عملاء». لا يمكن الوصول إلى المنصة - لقطات شاشة مأخوذة من صفحات تدريب JIRA/Confluence. الوصول إلى Project xThreat يدعي ممثل التهديد أنه يمكنه الوصول إلى ProjectX - لا يوجد وصول إلى المنصة - فيديو/لقطات شاشة مأخوذة من صفحات تدريب JIRA/Confluence - بيانات العميل من Xvigi - شارك ممثل التهديد ملفي Excel في ملف الأرشيف الذي هو من Xvigil - تم إرفاق الملفات بتذاكر Jira. تم اكتشاف هذه النطاقات الفرعية تلقائيًا بواسطة CloudSek. هذه المعلومات عامة. يجب أن يكون الممثل قد استخدمها كمعلومات نموذجية لتوليد الخوف. بيانات العميل من Xvigil. شارك ممثل التهديد ملفي Excel في أرشيف، وتم إرفاق الملفات بتذاكر Jira. هذه المعلومات عامة. يجب أن يكون الممثل قد استخدمها كمعلومات نموذجية لتوليد الخوف.

بتوقيت جرينتش 2.06 صباحًا 7 ديسمبر.

لقد أكدنا أن حساب مستخدم Jira قد تم اختراقه.
نعلم أيضًا أن مستخدم Jira لم يستخدم كلمة مرور أبدًا (استخدم SSO فقط)، وكان بريده الإلكتروني وراء MFA.
ومن ثم لم يتم اختراق كلمة مرور Jira، ولم يتم اختراق حساب البريد الإلكتروني للمستخدم.
نشك في أن ملفات تعريف الارتباط الخاصة بالجلسة لمستخدم Jira قد تم اختراقها، مما أدى إلى الاستيلاء على الحساب.
نحن نحقق في كيفية حصول المهاجمين على ملفات تعريف الارتباط الخاصة بالجلسة لمستخدم Jira المحدد.

بتوقيت جرينتش 2.29 صباحًا 7 ديسمبر

ما نوع بيانات العملاء التي تم تسريبها؟

أسماء العملاء، أمر شراء العميل لـ 3 شركات.
لقطات شاشة متعددة للوحات معلومات المنتج.

ما الذي لم يتم المساس به؟

لا يمكن الوصول إلى بيانات العملاء.
لا يمكن الوصول إلى معلومات تسجيل دخول العميل.
لم يتم اختراق أي بيانات اعتماد مستخدمة على البوابة.

بتوقيت جرينتش 9.00 صباحا

التحقيق في الوصول غير المصرح به إلى حساب CloudSek JIRA

21 نوفمبر 2022: واجه موظف مشاكل في أداء الكمبيوتر المحمول.

22 نوفمبر 2022: استعانت CloudSek ببائع تابع لجهة خارجية (Axiom) للتحقق من المشكلة. قام البائع بإخراج الكمبيوتر المحمول من مباني CloudSek للصيانة. تمت إعادة الكمبيوتر المحمول بنسخة جديدة من Windows وتثبيت برنامج ضار لسجل السارق (Vidar Stealer). قام مسؤول CloudSek بتسليم الكمبيوتر المحمول إلى الموظف.

24 نوفمبر 2022: قامت البرامج الضارة لسجل السارق بتحميل كلمات السر/ملفات تعريف الارتباط على جهاز الموظف إلى سوق darkweb. اشترى المهاجم السجلات في نفس اليوم. لم يتمكن المهاجم من استخدام كلمات المرور الأخرى بسبب MFA. ومن ثم استخدم ملفات تعريف الارتباط الخاصة بالجلسة لاستعادة جلسات jira.

بتوقيت جرينتش 9.15 ص

الأسئلة الشائعة

كيف أثرت بيانات اعتماد JIRA المسربة على CloudSek؟

سمحت أوراق اعتماد Jira المسربة لممثل التهديد بالوصول إلى

التدريب والوثائق الداخلية.
عنوان VPN و Endpoint IP الذي يمكن الوصول إليه من خلال تكوين VPN.
صفحات Confluence حيث استخدم ممثل التهديد مصطلح البحث «كلمة المرور» للبحث عن البيانات الحساسة.

يمكن إرجاع جميع لقطات الشاشة وعمليات الوصول المزعومة التي شاركها ممثل التهديد إلى تذاكر JIRA وصفحات الالتقاء الداخلية. حتى لقطات الشاشة الخاصة بـ Elastic DB ومخطط قاعدة بيانات MySQL و Xvigil/px هي من مستندات التدريب المخزنة على JIRA أو Confluence.

ما نوع بيانات العملاء التي تم تسريبها؟

الأسماء وأوامر الشراء (PoS) لـ 3 عملاء.
لقطات شاشة متعددة للوحات معلومات المنتج.

ما الذي لم يتأثر؟

على عكس ادعاءات ممثل التهديد:

لم يتم تسريب بيانات اعتماد VPN.
لا يمكن الوصول إلى بيانات العملاء.
لا يمكن الوصول إلى معلومات تسجيل دخول العميل.
لم يتم اختراق أي بيانات اعتماد مستخدمة على البوابة.

لا تخزن CloudSek معلومات مهمة عن عملائها. CloudSek هي شركة SaaS تستفيد منتجاتها من البيانات العامة لتوفير معلومات التهديدات الخارجية في شكل ناقلات الوصول الأولية و TTPs. لا يمكن استخدام أي بيانات من هذا الخرق لشن هجمات سلسلة التوريد على العملاء.

ما هو التغيير في العملية بعد الحادث؟

تم إجراء تغييرات العملية التالية بالإضافة إلى عناصر تحكم الأمان المحسنة. نحن نشارك عناصر التحكم الأمنية التي كانت لدينا من قبل وضوابط الأمان المحسنة لدينا.

أخضر - تحسين التحكم الأمني.
أحمر - التحكم الأمني السابق.
أسود - لا توجد تغييرات في العملية

ضوابط/عمليات الأمان قبل وقوع الحادث/عناصر التحكم/العمليات المقدمة بعد الحادث.يتم تسليم الآلات المجهزة للموظفين.يجب وضع جميع الآلات الجديدة والمخدومة على متن الطائرة في الحجر الصحي لفحص الخبث والسلامة لمدة أسبوع واحد.

عملية محدثة لضمان تنشيط أنظمة EDR خلال الفترة الزمنية المعزولة.

مشاركة كلمات المرور على جيرا، سلاك، كونفلونسلا توجد مشاركة لكلمات المرور على جيرا أو سلاك أو كونفلونس.

قم بتطبيق أداة لمراقبة مساحات العمل العامة للحصول على بيانات الاعتماد وإخطار فريق الأمان.

يمكن للموظفين الوصول إلى مستندات داخلية متعددة على قنوات JIRA/Confluence/Slack وما إلى ذلك.حدد النطاق والترخيص عن طريق إلغاء الإذن من JIRA/Confluence. (تحتاج إلى معرفة الأساس)

التفويض والإذن على قناة Slack استنادًا إلى ملف تعريف الموظف ودوره.

إدارة الأسطول/المخزون باستخدام أدوات معالجة النصوص.إدارة الأسطول/المخزون باستخدام Fleet DM.تجديد أمان الجهاز - أمان جهاز الموظف (الأجهزة المادية التي يستخدمها الموظفون بما في ذلك الكمبيوتر المحمول وسطح المكتب وأجهزة التوجيه والمزيد) تجديد أمان الجهاز - أمان جهاز الموظف (الأجهزة المادية التي يستخدمها الموظفون بما في ذلك الكمبيوتر المحمول وسطح المكتب وأجهزة التوجيه والمزيد)

تشفير الأقراص

قائمة الأدوات والبرامج القياسية لجميع الأجهزة.

مراقبة القياس عن بعد في الوقت الفعلي تقريبًا باستخدام

جهاز سنتينلون إي دي آر

فليت دي إم

قواعد Fleet DM - قياس الامتثال الآلي عن بُعد والتنفيذ والتحقق.

Fleet DM - إدارة التصحيح الآلي لجميع أجهزة الموظفين.

يتم نشر منتجات أمان CloudSek للأمان الداخلي. موارد مشتركة لمراقبة أدوات CloudSek وأدوات الأمان الأخرى.يتم نشر منتجات أمان CloudSek للأمان الداخلي. موارد مخصصة لمراقبة أدوات CloudSek وأدوات الأمان الأخرى.مراقبة الحسابات رفيعة المستوى. تحديد وإدراج الحسابات عالية المخاطر وإعداد المراقبة المنتظمة.تحديث نظام التشغيل الدوريتحديث نظام التشغيل الدوريتمارين مكافحة الحرائق بشكل دوري لاختبار BCP والمرونةتمارين مكافحة الحرائق بشكل دوري لاختبار BCP والمرونة.اختبارات الاختراق الدورية وتمارين الفريق الأحمر ومحاكاة التصيد الاحتيالي ومكافآت الأخطاء. اختبارات الاختراق الدورية وتمارين الفريق الأحمر ومحاكاة التصيد ومكافآت الأخطاء. سياسات تأهيل الموظفين وخروجهمسياسات تأهيل الموظفين وخروجهمعمليات التحقق من خلفية البائع.عمليات التحقق من خلفية البائع.فحص صارم وآلي لتنفيذ 2FA/MFAفحص صارم وآلي لتنفيذ 2FA/MFAدليل التشغيل لأنواع مختلفة من الحوادث الأمنيةدليل التشغيل لأنواع مختلفة من الحوادث الأمنيةخطة استمرارية الأعمالتوجد بالفعل خطة استمرارية الأعمال.