CloudSEK tuyên bố nó đã bị tấn công bởi một công ty an ninh mạng khác

Công ty an ninh mạng Ấn Độ CloudSEK cho biết một tác nhân đe dọa đã có quyền truy cập vào máy chủ Confluence của họ bằng cách sử dụng thông tin đăng nhập bị đánh cắp cho một trong các tài khoản Jira của nhân viên.

Mặc dù một số thông tin nội bộ, bao gồm ảnh chụp màn hình bảng điều khiển sản phẩm, tên của ba khách hàng và đơn đặt hàng, đã bị lấy ra khỏi wiki Confluence của họ, CloudSEK cho biết những kẻ tấn công đã không xâm phạm cơ sở dữ liệu của họ.

“Chúng tôi đang điều tra một cuộc tấn công mạng có chủ đích vào CloudSEK. Mật khẩu Jira của một nhân viên đã bị xâm phạm để có quyền truy cập vào các trang hợp lưu của chúng tôi”, Giám đốc điều hành và người sáng lập của công ty, Rahul Sasi, cho biết hôm thứ Ba.

Thay vào đó, bằng cách sử dụng thông tin đăng nhập Jira bị đánh cắp, kẻ đe dọa có thể truy cập các tài liệu đào tạo và nội bộ, các trang Confluence và các tập lệnh tự động hóa nguồn mở được đính kèm với Jira.

Tác nhân đe dọa tuyên bố có quyền truy cập vào mạng của CloudSEK

Một tác nhân đe dọa có tên ‘sedut’ hiện đang cố gắng bán những gì họ tuyên bố là quyền truy cập vào “mạng, Xvigil, cơ sở mã, email, JIRA và tài khoản mạng xã hội” của CloudSek trên nhiều diễn đàn hack.

Họ cũng làm rò rỉ các hình ảnh chứa thông tin liên quan đến CloudSEK, bao gồm tên người dùng và mật khẩu cho các tài khoản được sử dụng để thu thập các diễn đàn hack Breached và XSS, hướng dẫn về cách sử dụng các trình thu thập dữ liệu trang web khác nhau, cũng như ảnh chụp màn hình hiển thị lược đồ cơ sở dữ liệu của CloudSEK, bảng điều khiển của CloudSEK và đơn đặt hàng .

Kẻ đe dọa hiện đang cố bán cơ sở dữ liệu bị cáo buộc của CloudSEK với giá 10.000 đô la và cơ sở mã và tài liệu về sản phẩm kỹ thuật/nhân viên với giá 8.000 đô la mỗi tài liệu.

“Tất cả các ảnh chụp màn hình và quyền truy cập có mục đích được chia sẻ bởi tác nhân đe dọa có thể được truy trở lại Vé JIRA và các trang hợp lưu nội bộ,” Sasi cho biết thêm hôm thứ Tư.

“Ngay cả các ảnh chụp màn hình của Elastic DB, lược đồ cơ sở dữ liệu mySQL và XVigil/PX là từ các tài liệu đào tạo được lưu trữ trên JIRA hoặc Confluence.”

Trang phục an ninh mạng không tên là nghi phạm chính

CloudSEK đã thắt chặt vòng nghi phạm của mình và trong một bản cập nhật cho bài đăng trên blog của mình, Sasi tuyên bố một công ty an ninh mạng khác được biết đến với việc theo dõi sự phát triển của dark web có thể đứng sau vụ vi phạm.

Giám đốc điều hành của CloudSEK cho biết: “Chúng tôi nghi ngờ một công ty An ninh mạng khét tiếng đang theo dõi Dark web đứng sau vụ tấn công.

“Cuộc tấn công và các chỉ số kết nối lại với kẻ tấn công có lịch sử khét tiếng về việc sử dụng các chiến thuật tương tự mà chúng tôi đã quan sát thấy trong quá khứ.”

BleepingComputer đã liên hệ sớm hơn vào ngày hôm nay để biết thêm thông tin, nhưng người phát ngôn của công ty đã từ chối cung cấp thêm chi tiết về tên của bộ phận an ninh mạng bị nghi ngờ vi phạm CloudSEK.

“Ngay sau khi chúng tôi biết về một cuộc tấn công nhắm mục tiêu vào CloudSEK, chúng tôi đã công khai thông tin và trên tinh thần minh bạch, chúng tôi đang cập nhật tất cả những phát hiện của mình trên bài đăng trên blog của chúng tôi về nó”, người phát ngôn của CloudSEK nói với BleepingComputer vào thứ Tư.