Se ha observado que los actores de amenazas detr\u00e1s del ransomware BianLian explotan fallas de seguridad en el software JetBrains TeamCity para llevar a cabo sus ataques exclusivamente de extorsi\u00f3n.<\/p>\n
De acuerdo a un nuevo reporte<\/a> de GuidePoint Security, que respondi\u00f3 a una intrusi\u00f3n reciente, el incidente “comenz\u00f3 con la explotaci\u00f3n de un servidor TeamCity que result\u00f3 en la implementaci\u00f3n de una implementaci\u00f3n PowerShell de la puerta trasera Go de BianLian”.<\/p>\n BianLian surgi\u00f3 en junio de 2022 y desde entonces se ha centrado exclusivamente en la extorsi\u00f3n basada en exfiltraci\u00f3n tras el lanzamiento de un descifrador en enero de 2023.<\/p>\n La cadena de ataque observada por la firma de ciberseguridad implica la explotaci\u00f3n de una instancia vulnerable de TeamCity utilizando CVE-2024-27198 o CVE-2023-42793 para obtener acceso inicial al entorno, seguido de la creaci\u00f3n de nuevos usuarios en el servidor de compilaci\u00f3n y la ejecuci\u00f3n de comandos maliciosos para post-explotaci\u00f3n y movimiento lateral.<\/p>\n Actualmente no est\u00e1 claro cu\u00e1l de las dos fallas fue utilizada como arma por el actor de amenazas para la infiltraci\u00f3n.<\/p>\n Los actores de BianLian son conocido<\/a> para implantar una puerta trasera personalizada adaptada a cada v\u00edctima escrita en Go, as\u00ed como para eliminar herramientas de escritorio remoto como AnyDesk, Atera, SplashTop y TeamViewer. Microsoft rastrea la puerta trasera como BianPuerta<\/a>.<\/p>\n “Despu\u00e9s de m\u00faltiples intentos fallidos de ejecutar su puerta trasera Go est\u00e1ndar, el actor de amenazas pas\u00f3 a vivir de la tierra y aprovech\u00f3 una implementaci\u00f3n PowerShell de su puerta trasera, que proporciona una funcionalidad casi id\u00e9ntica a la que tendr\u00eda con su puerta trasera Go”. dijeron los investigadores de seguridad Justin Timothy, Gabe Renfro y Keven Murphy.<\/p>\n La puerta trasera ofuscada de PowerShell (“web.ps1”) est\u00e1 dise\u00f1ada para establecer un socket TCP para comunicaci\u00f3n de red adicional con un servidor controlado por un actor, permitiendo a atacantes remotos realizar acciones arbitrarias en un host infectado.<\/p>\n “La puerta trasera ahora confirmada es capaz de comunicarse con el [command-and-control] servidor y se ejecuta de forma asincr\u00f3nica en funci\u00f3n de los objetivos posteriores a la explotaci\u00f3n del atacante remoto”, dijeron los investigadores.<\/p>\n La divulgaci\u00f3n se produce cuando VulnCheck detall\u00f3 nuevos exploits de prueba de concepto (PoC) para una falla de seguridad cr\u00edtica que afecta al Atlassian Confluence Data Center y Confluence Server (CVE-2023-22527) que podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo sin archivos y cargar el Godzilla web shell directamente en la memoria.<\/p>\n Desde entonces, la falla se ha utilizado como arma para implementar ransomware C3RB3R, mineros de criptomonedas y troyanos de acceso remoto durante los \u00faltimos dos meses, lo que indica una explotaci\u00f3n generalizada en la naturaleza.<\/p>\n “Hay m\u00e1s de una manera de llegar a Roma”, Jacob Baines de VulnCheck anotado<\/a>. “Si bien el uso de freemarker.template.utility.Execute parece ser la forma popular de explotar CVE-2023-22527, otras rutas m\u00e1s sigilosas generan indicadores diferentes”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/Actores-de-amenazas-de-BianLian-explotan-las-fallas-de-JetBrains.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n