Se ha observado que los actores de amenazas detrás del ransomware BianLian explotan fallas de seguridad en el software JetBrains TeamCity para llevar a cabo sus ataques exclusivamente de extorsión.
De acuerdo a un nuevo reporte de GuidePoint Security, que respondió a una intrusión reciente, el incidente «comenzó con la explotación de un servidor TeamCity que resultó en la implementación de una implementación PowerShell de la puerta trasera Go de BianLian».
BianLian surgió en junio de 2022 y desde entonces se ha centrado exclusivamente en la extorsión basada en exfiltración tras el lanzamiento de un descifrador en enero de 2023.
La cadena de ataque observada por la firma de ciberseguridad implica la explotación de una instancia vulnerable de TeamCity utilizando CVE-2024-27198 o CVE-2023-42793 para obtener acceso inicial al entorno, seguido de la creación de nuevos usuarios en el servidor de compilación y la ejecución de comandos maliciosos para post-explotación y movimiento lateral.
Actualmente no está claro cuál de las dos fallas fue utilizada como arma por el actor de amenazas para la infiltración.
Los actores de BianLian son conocido para implantar una puerta trasera personalizada adaptada a cada víctima escrita en Go, así como para eliminar herramientas de escritorio remoto como AnyDesk, Atera, SplashTop y TeamViewer. Microsoft rastrea la puerta trasera como BianPuerta.
«Después de múltiples intentos fallidos de ejecutar su puerta trasera Go estándar, el actor de amenazas pasó a vivir de la tierra y aprovechó una implementación PowerShell de su puerta trasera, que proporciona una funcionalidad casi idéntica a la que tendría con su puerta trasera Go». dijeron los investigadores de seguridad Justin Timothy, Gabe Renfro y Keven Murphy.
La puerta trasera ofuscada de PowerShell («web.ps1») está diseñada para establecer un socket TCP para comunicación de red adicional con un servidor controlado por un actor, permitiendo a atacantes remotos realizar acciones arbitrarias en un host infectado.
«La puerta trasera ahora confirmada es capaz de comunicarse con el [command-and-control] servidor y se ejecuta de forma asincrónica en función de los objetivos posteriores a la explotación del atacante remoto», dijeron los investigadores.
La divulgación se produce cuando VulnCheck detalló nuevos exploits de prueba de concepto (PoC) para una falla de seguridad crítica que afecta al Atlassian Confluence Data Center y Confluence Server (CVE-2023-22527) que podría conducir a la ejecución remota de código sin archivos y cargar el Godzilla web shell directamente en la memoria.
Desde entonces, la falla se ha utilizado como arma para implementar ransomware C3RB3R, mineros de criptomonedas y troyanos de acceso remoto durante los últimos dos meses, lo que indica una explotación generalizada en la naturaleza.
«Hay más de una manera de llegar a Roma», Jacob Baines de VulnCheck anotado. «Si bien el uso de freemarker.template.utility.Execute parece ser la forma popular de explotar CVE-2023-22527, otras rutas más sigilosas generan indicadores diferentes».