Los actores de amenazas afiliados al Servicio de Inteligencia Exterior de Rusia (SVR) se han dirigido a servidores JetBrains TeamCity sin parches en ataques generalizados desde septiembre de 2023.
La actividad ha estado vinculada a un grupo de estado-nación conocido como APT29, que también se rastrea como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anteriormente Nobelium) y The Dukes. Es notable por el ataque a la cadena de suministro dirigido a SolarWinds y sus clientes en 2020.
«Sin embargo, se ha observado que el SVR utiliza el acceso inicial obtenido al explotar TeamCity CVE para escalar sus privilegios, moverse lateralmente, implementar puertas traseras adicionales y tomar otras medidas para garantizar un acceso persistente y a largo plazo a los entornos de red comprometidos». agencias de ciberseguridad de Polonia, el Reino Unido y los EE. UU. dicho.
La vulnerabilidad en cuestión es CVE-2023-42793 (puntuación CVSS: 9,8), una falla de seguridad crítica que podría ser utilizada como arma por atacantes no autenticados para lograr la ejecución remota de código en los sistemas afectados. Desde entonces ha sido objeto de explotación activa por equipos de pirateríaincluidos los asociados con Corea del Norte, para la distribución de malware.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
«La explotación de TeamCity generalmente resultaba en la ejecución de código con altos privilegios, lo que otorgaba al SVR una posición ventajosa en el entorno de red», afirman las agencias. anotado.
«Si se ve comprometido, el acceso a un servidor TeamCity proporcionaría a los actores maliciosos acceso al código fuente del desarrollador de software, firma de certificados y la capacidad de subvertir los procesos de compilación e implementación de software; acceso que un actor malicioso podría utilizar para llevar a cabo operaciones de la cadena de suministro».
Un acceso inicial exitoso suele ir seguido de reconocimiento, escalada de privilegios, movimiento lateral y exfiltración de datos, al mismo tiempo que se toman medidas para evadir la detección utilizando una herramienta de código abierto llamada EDRSyBlast. El objetivo final de los ataques es implementar una puerta trasera con nombre en código GraphicalProton que funciona como un cargador para entregar cargas útiles adicionales.
GraphicalProton, también conocido como VaporRage, aprovecha OneDrive como canal de comunicación principal de comando y control (C2), con Dropbox tratado como un mecanismo alternativo. El actor de amenazas lo ha utilizado como parte de una campaña en curso denominada Diplomatic Orbiter que señala a las agencias diplomáticas de todo el mundo.
Se dice que hasta 100 dispositivos ubicados en EE. UU., Europa, Asia y Australia se vieron comprometidos como resultado de lo que se sospecha que son ataques oportunistas.
objetivos de la campaña incluir una asociación comercial de energía; empresas que proporcionan software para facturación, dispositivos médicos, atención al cliente, seguimiento de empleados, gestión financiera, marketing, ventas y videojuegos; así como empresas de hosting, fabricantes de herramientas y pequeñas y grandes empresas de TI.
La divulgación se produce cuando Microsoft reveló el ataque múltiple de Rusia al sector agrícola de Ucrania entre junio y septiembre de 2023 para penetrar redes, exfiltrar datos y desplegar malware destructivo como SharpWipe (también conocido como WalnutWipe).
Las intrusiones se han vinculado a dos grupos de estados-nación con nombre en código Aqua Blizzard (anteriormente Actinium) y Seashell Blizzard (anteriormente Iridium), respectivamente.
También se ha observado que Seashell Blizzard aprovecha el software pirateado de Microsoft Office que alberga la puerta trasera DarkCrystalRAT (también conocida como DCRat) para obtener acceso inicial, usándolo posteriormente para descargar una carga útil de segunda etapa llamada Shadowlink que se hace pasar por Microsoft Defender pero, en realidad, instala un Servicio TOR para acceso remoto subrepticio.
«Midnight Blizzard adoptó un enfoque de fregadero, utilizando contraseñas en aerosol, credenciales adquiridas de terceros, campañas creíbles de ingeniería social a través de Teams y abuso de servicios en la nube para infiltrarse en entornos de nube», dijo el gigante tecnológico. dicho.
Microsoft destacó además a un actor de influencia afiliado a Rusia al que llama Storm-1099 (también conocido como Doppelganger) por llevar a cabo sofisticadas operaciones de influencia pro Rusia dirigidas a partidarios internacionales de Ucrania desde la primavera de 2022.
Otros esfuerzos de influencia incluyen la falsificación de los principales medios de comunicación y la edición engañosa de vídeos de celebridades compartidos en Camafeo difundir contenidos de vídeo anti-Ucrania y difamar al presidente Volodymyr Zelensky mediante afirmando falsamente sufría problemas de abuso de sustancias, lo que subraya los esfuerzos continuos para distorsionar las percepciones globales de la guerra.
«Esta campaña marca un enfoque novedoso por parte de actores pro-Rusia que buscan promover la narrativa en el espacio de la información en línea», dijo Microsoft. «Los operadores cibernéticos y de influencia rusos han demostrado adaptabilidad durante toda la guerra contra Ucrania».
Actualizar
Tras la publicación de la historia, Yaroslav Russkih, jefe de seguridad de JetBrains, compartió la siguiente declaración con The Hacker News:
«Se nos informó sobre esta vulnerabilidad a principios de este año y la solucionamos de inmediato en la actualización TeamCity 2023.05.4, que se lanzó el 18 de septiembre de 2023. Desde entonces, nos hemos puesto en contacto con nuestros clientes directamente o mediante publicaciones públicas motivándolos a actualizar su software. . También lanzamos un parche de seguridad dedicado para organizaciones que utilizan versiones anteriores de TeamCity que no pudieron actualizar a tiempo. Además, hemos estado compartiendo las mejores prácticas de seguridad para ayudar a nuestros clientes a fortalecer la seguridad de sus canales de compilación. Ahora, según las estadísticas que tenemos, menos del 2% de las instancias de TeamCity todavía funcionan con software sin parches y esperamos que sus propietarios las parcheen de inmediato. Esta vulnerabilidad solo afecta las instancias locales de TeamCity, mientras que nuestra versión en la nube no se vio afectada. «