Según Microsoft, los actores de amenazas norcoreanos están explotando activamente una falla de seguridad crítica en JetBrains TeamCity para violar de manera oportunista servidores vulnerables.
Los ataques, que implican la explotación de CVE-2023-42793 (puntuación CVSS: 9,8), han sido atribuido a Diamond Sleet (también conocido como Labyrinth Chollima) y Onyx Sleet (también conocido como Andariel o Silent Chollima).
Vale la pena señalar que ambos grupos de actividades de amenazas son parte del infame actor-estado-nación de Corea del Norte conocido como Grupo Lazarus.
En una de las dos rutas de ataque empleadas por Diamond Sleet, un compromiso exitoso de los servidores de TeamCity es seguido por la implementación de un implante conocido llamado ForestTiger desde una infraestructura legítima previamente comprometida por el actor de la amenaza.
Una segunda variante de los ataques aprovecha el punto de apoyo inicial para recuperar una DLL maliciosa (DSROLE.dll también conocida como RollSling o Version.dll o FeedLoad) que se carga mediante una técnica conocida como secuestro de orden de búsqueda de DLL para ejecutar una siguiente etapa. carga útil o un troyano de acceso remoto (RAT).
Microsoft dijo que vio al adversario aprovechar una combinación de herramientas y técnicas de ambas secuencias de ataque en ciertos casos.
Las intrusiones montadas por Onyx Sleet, por otro lado, utilizan el acceso brindado por la explotación del error JetBrains TeamCity para crear una nueva cuenta de usuario llamada krtbgt que probablemente pretende hacerse pasar por el Ticket de concesión de boletos de Kerberos.
«Después de crear la cuenta, el actor de amenazas la agrega al grupo de administradores locales mediante el uso de la red», dijo Microsoft. «El actor de amenazas también ejecuta varios comandos de descubrimiento de sistemas en sistemas comprometidos».
Posteriormente, los ataques conducen a la implementación de una herramienta proxy personalizada denominada HazyLoad que ayuda a establecer una conexión persistente entre el host comprometido y la infraestructura controlada por el atacante.
Otra acción notable posterior al compromiso es el uso de la cuenta krtbgt controlada por el atacante para iniciar sesión en el dispositivo comprometido a través del protocolo de escritorio remoto (RDP) y finalizar el servicio TeamCity en un intento por evitar el acceso de otros actores de amenazas.
A lo largo de los años, el grupo Lazarus se ha establecido como uno de los grupos de amenazas persistentes avanzadas (APT) más perniciosos y sofisticados actualmente activos, orquestando delitos financieros y ataques de espionaje en igual medida a través de atracos de criptomonedas y ataques a la cadena de suministro.
«Ciertamente creemos que el hackeo de criptomonedas por parte de Corea del Norte en infraestructuras en todo el mundo (incluidos Singapur, Vietnam y Hong Kong) es una importante fuente de ingresos para el régimen que se utiliza para financiar el avance del programa de misiles y el mucho mayor número de lanzamientos que hemos visto en el último año», afirmó la asesora adjunta de seguridad nacional de EE.UU., Anne Neuberger, dicho.
El desarrollo se produce cuando el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) detalló el uso por parte del Grupo Lazarus de familias de malware como Volgmer y Scout que actúan como un conducto para servir puertas traseras para controlar los sistemas infectados.
«El grupo Lazarus es uno de los grupos más peligrosos que están muy activos en todo el mundo y utilizan diversos vectores de ataque, como el phishing y los ataques a la cadena de suministro», afirmó la empresa de ciberseguridad surcoreana. dichoimplicando al equipo de piratería en otra campaña con el nombre en código Operación Dream Magic.
Esto implica montar ataques de abrevadero insertando un enlace fraudulento dentro de un artículo específico en un sitio web de noticias no especificado que utiliza fallas de seguridad en los productos INISAFE y MagicLine para activar las infecciones, una táctica previamente asociado con el Grupo Lázaro.
En una señal más de la evolución de los programas ofensivos de Corea del Norte, ASEC ha atribuido otro actor de amenazas conocido como Kimsuky (también conocido como APT43) a un nuevo conjunto de ataques de phishing que utilizan el malware BabyShark para instalar una variedad de herramientas de escritorio remoto y software VNC (es decir, TightVNC y TinyNuke) para apoderarse de los sistemas de las víctimas y extraer información.