Sophos对朝鲜黑客入侵科技公司JumpCloud偷取加密货币提出警讯

针对近日朝鲜黑客入侵科技公司JumpCloud偷取加密货币的事件，Sophos应用研究领域现场技术长Chester Wisniewski 表示，透过攻击供应链，以网络系统或应用程序中未经授权的通道或漏洞等侧门来进入具重要性的目标的手法正在不断增加，而且短期内不会减缓。

随着企业纷纷改用云端服务，云端服务提供者无疑成为犯罪分子、间谍和国家级网络攻击分子的目标。这个现象影响了各种规模和类型的组织，正如我们从针对JumpCloud的攻击（归因于朝鲜）、针对 Microsoft的攻击（归因于国内），以及针对SolarWinds的攻击 （归因于俄罗斯） 中所看到的。

对云端服务提供者和消费者而言，这应该是一个警讯，特别是那些有权存取敏感信息和验证凭证的云端服务。虽然朝鲜可能只对加密货币感兴趣，但其他像CLOP这样的勒索软件集团会利用零时差漏洞对如 MoveIT 这样的对象使用自动化工具和流程进行勒索，情况就不一样了。

安全营运中心（SOC）的分析师和托管式侦测和回应（MDR）服务的供应商不能再将云端服务视为「安全空间」并信任它们，也不能忽视来自可信任装置和软件的异常行为。过去依靠 XDR（扩展式侦测和回应）和端点安全侦测系统来进行侦测，然后将可信任服务新增到白名单的日子已经结束了。现在必须对一切进行调查并迅速采取移动，因为在安全竞赛中，只有最快侦测和回应的人可以获得胜利。