Rusya Dış İstihbarat Servisi’ne (SVR) bağlı tehdit aktörleri, Eylül 2023’ten bu yana yaygın saldırılarla yama yapılmamış JetBrains TeamCity sunucularını hedef alıyor.
Faaliyet, olarak bilinen bir ulus-devlet grubuna bağlandı. APT29Aynı zamanda BlueBravo, Cloaked Ursa, Cosy Bear, Midnight Blizzard (eski adıyla Nobelium) ve The Dukes isimleriyle de takip edilmektedir. 2020’de SolarWinds’i ve müşterilerini hedef alan tedarik zinciri saldırısı dikkat çekicidir.
“Ancak SVR’nin, TeamCity CVE’den yararlanarak ayrıcalıklarını yükseltmek, yanlara doğru hareket etmek, ek arka kapılar dağıtmak ve güvenliği ihlal edilmiş ağ ortamlarına kalıcı ve uzun vadeli erişim sağlamak için başka adımlar atarak elde edilen ilk erişimi kullandığı gözlemlendi.” Polonya, İngiltere ve ABD’den siber güvenlik kuruluşları söz konusu.
Söz konusu güvenlik açığı CVE-2023-42793’tür (CVSS puanı: 9,8), kimliği doğrulanmamış saldırganlar tarafından etkilenen sistemlerde uzaktan kod yürütmek amacıyla silah olarak kullanılabilecek kritik bir güvenlik açığıdır. O günden bu yana aktif olarak sömürülmeye başlandı. hack ekipleriKötü amaçlı yazılım dağıtımı için Kuzey Kore ile ilişkili olanlar dahil.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Ajanslar, “TeamCity’nin kötüye kullanılması genellikle SVR’ye ağ ortamında avantajlı bir dayanak sağlayan yüksek ayrıcalıklara sahip kod yürütülmesiyle sonuçlandı.” kayıt edilmiş.
“TeamCity sunucusuna erişim tehlikeye girerse, kötü niyetli aktörlere söz konusu yazılım geliştiricinin kaynak koduna, imza sertifikalarına erişim ve yazılım derleme ve dağıtım süreçlerini altüst etme yeteneği sağlanacak; kötü niyetli bir aktör, tedarik zinciri operasyonlarını yürütmek için bundan sonra kullanabilir.”
Başarılı bir ilk erişimi genellikle keşif, ayrıcalık yükseltme, yanal hareket ve veri sızması takip eder ve aynı zamanda, adı verilen açık kaynaklı bir araç kullanılarak tespitten kaçınmak için adımlar atılır. EDRSandBlast. Saldırıların nihai hedefi, ek yükler sağlamak için yükleyici olarak işlev gören GraphicalProton kod adlı bir arka kapı dağıtmaktır.
VaporRage olarak da bilinen GraphicalProton, OneDrive’ı birincil komuta ve kontrol (C2) iletişim kanalı olarak kullanır ve Dropbox bir geri dönüş mekanizması olarak kabul edilir. Tehdit aktörü tarafından, dünya çapındaki diplomatik ajansları öne çıkaran Diplomatic Orbiter adlı devam eden bir kampanyanın parçası olarak kullanıldı.
Microsoft, “Açıklama sonrası etkinlikler arasında Mimikatz kullanılarak yapılan kimlik bilgileri hırsızlığı, DSinternals kullanılarak Active Directory numaralandırması, tünel açma aracı rsockstun’un konuşlandırılması ve antivirüs ile EDR özelliklerinin kapatılması yer alıyor” dedi. söz konusukusurdan yararlanarak TeamCity sunucularını hedef alan “yaygın bir kampanya” olarak tanımladığı şeyi bozmak için adımlar attığını da sözlerine ekledi.
ABD, Avrupa, Asya ve Avustralya’da bulunan 100 kadar cihazın, fırsatçı saldırı olduğundan şüphelenilen saldırılar sonucunda ele geçirildiği söyleniyor.
Hedefleri kampanya bir enerji ticareti derneğinin dahil edilmesi; faturalandırma, tıbbi cihazlar, müşteri hizmetleri, çalışan izleme, finansal yönetim, pazarlama, satış ve video oyunları için yazılım sağlayan firmalar; barındırma şirketlerinin, araç üreticilerinin ve küçük ve büyük BT kuruluşlarının yanı sıra.
Açıklama, Microsoft’un, ağlara sızmak, verilere sızmak ve SharpWipe (diğer adıyla WalnutWipe) gibi yıkıcı kötü amaçlı yazılımları dağıtmak amacıyla Rusya’nın Haziran ile Eylül 2023 arasında Ukrayna’nın tarım sektörüne yönelik çok yönlü saldırısını ortaya çıkarmasıyla geldi.
İzinsiz girişlerin sırasıyla Aqua Blizzard (eski adıyla Actinium) ve Seashell Blizzard (eski adıyla Iridium) kod adlı iki ulus devlet grubuyla bağlantılı olduğu ortaya çıktı.
Seashell Blizzard’ın ayrıca ilk erişim elde etmek için DarkCrystalRAT (diğer adıyla DCRat) arka kapısını barındıran korsan Microsoft Office yazılımından yararlandığı, daha sonra bunu Microsoft Defender kılığına giren ancak gerçekte bir tane yükleyen Shadowlink adlı ikinci aşama yükünü indirmek için kullandığı gözlemlendi. Gizli uzaktan erişim için TOR hizmeti.
Teknoloji devi, “Midnight Blizzard, parola spreyi, üçüncü taraflardan edinilen kimlik bilgileri, Teams aracılığıyla inandırıcı sosyal mühendislik kampanyaları ve bulut ortamlarına sızmak için bulut hizmetlerinin kötüye kullanılması yoluyla mutfak lavabosu yaklaşımını benimsedi” dedi. söz konusu.
Microsoft ayrıca, 2022 baharından bu yana Ukrayna’nın uluslararası destekçilerini hedef alan karmaşık Rusya yanlısı nüfuz operasyonları yürüten Storm-1099 (diğer adıyla Doppelganger) adını verdiği Rusya bağlantılı nüfuz aktörünün altını çizdi.
Diğer etkileme çabaları arasında ana akım medyayı yanıltmak ve ünlülerin paylaştığı videoların aldatıcı bir şekilde düzenlenmesi yer alıyor. Kamera hücresi Ukrayna karşıtı video içeriğini yaymak ve Başkan Volodymyr Zelensky’yi karalamak için yanlış iddiada bulunmak madde bağımlılığı sorunlarından muzdaripti, bu da savaşa ilişkin küresel algıyı çarpıtmaya yönelik çabaların devam ettiğinin altını çiziyordu.
Microsoft, “Bu kampanya, çevrimiçi bilgi alanındaki anlatıyı ilerletmek isteyen Rusya yanlısı aktörlerin yeni bir yaklaşımını işaret ediyor” dedi. “Rus siber ve etki operatörleri Ukrayna’ya karşı savaş boyunca uyum sağlama yeteneği gösterdi.”
Güncelleme
Hikayenin yayınlanmasının ardından JetBrains güvenlik şefi Yaroslav Russkih, The Hacker News ile şu açıklamayı paylaştı:
“Bu yılın başlarında bu güvenlik açığından haberdar olduk ve 18 Eylül 2023’te yayınlanan TeamCity 2023.05.4 güncellemesinde bu sorunu hemen düzelttik. O zamandan bu yana müşterilerimizle doğrudan veya onları yazılımlarını güncellemeye motive eden herkese açık gönderiler aracılığıyla iletişim kuruyoruz. Ayrıca TeamCity’nin zamanında yükseltemedikleri eski sürümlerini kullanan kuruluşlar için özel bir güvenlik yaması yayınladık. Ayrıca, müşterilerimizin derleme işlem hatlarının güvenliğini güçlendirmelerine yardımcı olmak için en iyi güvenlik uygulamalarını da paylaşıyoruz. elimizdeki istatistiklere göre TeamCity örneklerinin %2’sinden azı hala yama yapılmamış yazılım çalıştırıyor ve sahiplerinin bunları hemen yamamasını umuyoruz.Bu güvenlik açığı yalnızca TeamCity’nin şirket içi örneklerini etkilerken, bulut sürümümüz etkilenmedi. “