Les acteurs malveillants à l’origine du ransomware BianLian ont été observés en train d’exploiter les failles de sécurité du logiciel JetBrains TeamCity pour mener leurs attaques d’extorsion uniquement.
Selon un nouveau rapport Selon GuidePoint Security, qui a répondu à une intrusion récente, l’incident « a commencé avec l’exploitation d’un serveur TeamCity qui a abouti au déploiement d’une implémentation PowerShell de la porte dérobée Go de BianLian ».
BianLian est apparu en juin 2022 et s’est depuis tourné exclusivement vers l’extorsion basée sur l’exfiltration après la sortie d’un décrypteur en janvier 2023.
La chaîne d’attaque observée par la société de cybersécurité implique l’exploitation d’une instance TeamCity vulnérable à l’aide de CVE-2024-27198 ou CVE-2023-42793 pour obtenir un premier accès à l’environnement, suivie de la création de nouveaux utilisateurs sur le serveur de build et de l’exécution de commandes malveillantes pour post-exploitation et mouvement latéral.
Il n’est actuellement pas clair laquelle des deux failles a été utilisée par l’acteur menaçant à des fins d’infiltration.
Les acteurs BianLian sont connu pour implanter une porte dérobée personnalisée adaptée à chaque victime écrite en Go, ainsi que pour supprimer des outils de bureau à distance comme AnyDesk, Atera, SplashTop et TeamViewer. La porte dérobée est suivie par Microsoft comme BianPorte.
« Après plusieurs tentatives infructueuses pour exécuter sa porte dérobée Go standard, l’acteur malveillant s’est tourné vers la vie hors du terrain et a exploité une implémentation PowerShell de sa porte dérobée, qui fournit une fonctionnalité presque identique à celle qu’il aurait avec sa porte dérobée Go. » » ont déclaré les chercheurs en sécurité Justin Timothy, Gabe Renfro et Keven Murphy.
La porte dérobée PowerShell obscurcie (« web.ps1 ») est conçue pour établir un socket TCP pour une communication réseau supplémentaire avec un serveur contrôlé par un acteur, permettant ainsi aux attaquants distants de mener des actions arbitraires sur un hôte infecté.
« La porte dérobée, désormais confirmée, est capable de communiquer avec le [command-and-control] serveur et s’exécutent de manière asynchrone en fonction des objectifs post-exploitation de l’attaquant distant », ont déclaré les chercheurs.
La divulgation intervient alors que VulnCheck détaille de nouveaux exploits de preuve de concept (PoC) pour une faille de sécurité critique affectant Atlassian Confluence Data Center et Confluence Server (CVE-2023-22527) qui pourrait conduire à l’exécution de code à distance sans fichier et au chargement du fichier. Shell Web Godzilla directement en mémoire.
La faille a depuis été utilisée pour déployer le ransomware C3RB3R, les mineurs de crypto-monnaie et les chevaux de Troie d’accès à distance au cours des deux derniers mois, ce qui indique une exploitation généralisée dans la nature.
« Il existe plusieurs façons d’atteindre Rome », Jacob Baines de VulnCheck noté. « Bien que l’utilisation de freemarker.template.utility.Execute semble être le moyen populaire d’exploiter CVE-2023-22527, d’autres chemins plus furtifs génèrent des indicateurs différents. »