BianLian fidye yazılımının arkasındaki tehdit aktörlerinin, yalnızca gasp amaçlı saldırılar gerçekleştirmek için JetBrains TeamCity yazılımındaki güvenlik kusurlarından yararlandıkları gözlemlendi.
Bir göre yeni rapor Yakın zamanda meydana gelen bir izinsiz girişe yanıt veren GuidePoint Security’den gelen bilgiye göre olay “TeamCity sunucusunun kötüye kullanılmasıyla başladı ve bu da BianLian’ın Go arka kapısının PowerShell uygulamasının konuşlandırılmasıyla sonuçlandı.”
BianLian, Haziran 2022’de ortaya çıktı ve Ocak 2023’te bir şifre çözücünün piyasaya sürülmesinin ardından yalnızca sızmaya dayalı gasplara yöneldi.
Siber güvenlik firması tarafından gözlemlenen saldırı zinciri, ortama ilk erişim sağlamak için CVE-2024-27198 veya CVE-2023-42793 kullanarak savunmasız bir TeamCity örneğinin istismar edilmesini, ardından derleme sunucusunda yeni kullanıcılar oluşturulmasını ve kötü amaçlı komutların çalıştırılmasını içeriyor. kullanım sonrası ve yanal hareket.
Şu anda iki kusurdan hangisinin tehdit aktörü tarafından sızma amacıyla silah haline getirildiği belli değil.
BianLian aktörleri bilinen Go’da yazılan her kurbana özel bir arka kapı yerleştirmek ve ayrıca AnyDesk, Atera, SplashTop ve TeamViewer gibi uzak masaüstü araçlarını bırakmak. Arka kapı Microsoft tarafından şu şekilde izlenir: BianKapı.
“Standart Go arka kapısını uygulamaya yönelik çok sayıda başarısız girişimin ardından, tehdit aktörü arazi dışında yaşamaya yöneldi ve arka kapılarının PowerShell uygulamasından yararlandı; bu, Go arka kapılarıyla neredeyse aynı işlevselliğe sahip oldu.” güvenlik araştırmacıları Justin Timothy, Gabe Renfro ve Keven Murphy söyledi.
Gizlenmiş PowerShell arka kapısı (“web.ps1”), aktör tarafından kontrol edilen bir sunucuyla ek ağ iletişimi için bir TCP soketi oluşturmak üzere tasarlanmıştır ve uzak saldırganların virüslü bir ana bilgisayar üzerinde rastgele eylemler gerçekleştirmesine olanak tanır.
“Artık onaylanan arka kapı, [command-and-control] Araştırmacılar, sunucunun uzak saldırganın istismar sonrası hedeflerine göre eşzamansız olarak çalıştırıldığını söyledi.
Açıklama, VulnCheck’in, Atlassian Confluence Veri Merkezini ve Confluence Sunucusunu (CVE-2023-22527) etkileyen, dosyasız bir şekilde uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik kusuruna yönelik ayrıntılı yeni kavram kanıtlama (PoC) istismarları sırasında geldi. Godzilla web kabuğunu doğrudan belleğe aktarır.
Kusur, son iki ay içinde C3RB3R fidye yazılımını, kripto para birimi madencilerini ve uzaktan erişim truva atlarını dağıtmak için silah haline getirildi ve bu da vahşi doğada yaygın bir istismara işaret ediyor.
VulnCheck’ten Jacob Baines “Roma’ya ulaşmanın birden fazla yolu var” kayıt edilmiş. “freemarker.template.utility.Execute kullanımı, CVE-2023-22527’den yararlanmanın popüler yolu gibi görünse de, diğer daha gizli yollar farklı göstergeler oluşturur.”