Les acteurs malveillants affiliés au Service russe de renseignement étranger (SVR) ont ciblé les serveurs JetBrains TeamCity non corrigés lors d’attaques généralisées depuis septembre 2023.
L’activité est liée à un groupe d’États-nations connu sous le nom de APT29, qui est également suivi sous les noms de BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anciennement Nobelium) et The Dukes. Il convient de noter l’attaque de la chaîne d’approvisionnement visant SolarWinds et ses clients en 2020.
« Le SVR a cependant été observé utilisant l’accès initial glané en exploitant le TeamCity CVE pour élever ses privilèges, se déplacer latéralement, déployer des portes dérobées supplémentaires et prendre d’autres mesures pour garantir un accès persistant et à long terme aux environnements réseau compromis. » agences de cybersécurité de Pologne, du Royaume-Uni et des États-Unis dit.
La vulnérabilité en question est CVE-2023-42793 (score CVSS : 9,8), une faille de sécurité critique qui pourrait être utilisée par des attaquants non authentifiés pour exécuter du code à distance sur les systèmes concernés. Depuis, il est activement exploité par équipes de piratagey compris ceux associés à la Corée du Nord, pour la diffusion de logiciels malveillants.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
« L’exploitation de TeamCity aboutissait généralement à l’exécution de code avec des privilèges élevés, conférant au SVR une position avantageuse dans l’environnement réseau », expliquent les agences. noté.
« En cas de compromis, l’accès à un serveur TeamCity fournirait aux acteurs malveillants un accès au code source de ce développeur de logiciels, la signature de certificats et la possibilité de contourner les processus de compilation et de déploiement de logiciels – un accès qu’un acteur malveillant pourrait ensuite utiliser pour mener des opérations de chaîne d’approvisionnement. »
Un accès initial réussi est généralement suivi d’une reconnaissance, d’une élévation de privilèges, d’un mouvement latéral et d’une exfiltration de données, tout en prenant simultanément des mesures pour échapper à la détection à l’aide d’un outil open source appelé EDRSandBlast. L’objectif final des attaques est de déployer une porte dérobée nommée GraphicalProton qui fonctionne comme un chargeur pour fournir des charges utiles supplémentaires.
GraphicalProton, également connu sous le nom de VaporRage, exploite OneDrive comme principal canal de communication de commande et de contrôle (C2), Dropbox étant traité comme mécanisme de secours. Il a été utilisé par l’acteur menaçant dans le cadre d’une campagne en cours baptisée Diplomatic Orbiter qui cible les agences diplomatiques du monde entier.
Jusqu’à 100 appareils situés aux États-Unis, en Europe, en Asie et en Australie auraient été compromis à la suite de ce que l’on soupçonne d’être des attaques opportunistes.
Les cibles de la campagne comprennent une association commerciale de l’énergie ; les entreprises qui fournissent des logiciels pour la facturation, les dispositifs médicaux, le service client, la surveillance des employés, la gestion financière, le marketing, les ventes et les jeux vidéo ; ainsi que des sociétés d’hébergement, des fabricants d’outils et des petites et grandes entreprises informatiques.
Cette divulgation intervient alors que Microsoft a révélé l’attaque sur plusieurs fronts menée par la Russie contre le secteur agricole ukrainien entre juin et septembre 2023 pour pénétrer les réseaux, exfiltrer des données et déployer des logiciels malveillants destructeurs tels que SharpWipe (alias WalnutWipe).
Les intrusions ont été liées à deux groupes d’États-nations nommés respectivement Aqua Blizzard (anciennement Actinium) et Seashell Blizzard (anciennement Iridium).
Seashell Blizzard a également été observé en train de profiter d’un logiciel Microsoft Office piraté hébergeant la porte dérobée DarkCrystalRAT (alias DCRat) pour obtenir un accès initial, puis de l’utiliser pour télécharger une charge utile de deuxième étape nommée Shadowlink qui se fait passer pour Microsoft Defender mais, en réalité, installe un Service TOR pour un accès à distance clandestin.
« Midnight Blizzard a adopté une approche d’évier de cuisine, en utilisant des pulvérisations de mots de passe, des informations d’identification acquises auprès de tiers, des campagnes d’ingénierie sociale crédibles via Teams et l’abus des services cloud pour infiltrer les environnements cloud », a déclaré le géant de la technologie. dit.
Microsoft a en outre mis en avant un acteur d’influence affilié à la Russie qu’il appelle Storm-1099 (alias Doppelganger) pour avoir mené des opérations d’influence pro-russes sophistiquées ciblant les partisans internationaux de l’Ukraine depuis le printemps 2022.
D’autres efforts d’influence consistent à usurper les médias grand public et à éditer de manière trompeuse des vidéos de célébrités partagées sur Camée pour diffuser du contenu vidéo anti-Ukraine et calomnier le président Volodymyr Zelensky en prétendant faussement il souffrait de problèmes de toxicomanie, ce qui souligne les efforts continus visant à déformer la perception mondiale de la guerre.
« Cette campagne marque une approche nouvelle de la part d’acteurs pro-russes cherchant à faire avancer le récit dans l’espace d’information en ligne », a déclaré Microsoft. « Les cyberopérateurs et les opérateurs d’influence russes ont fait preuve d’adaptabilité tout au long de la guerre contre l’Ukraine. »