Selon Microsoft, les acteurs nord-coréens exploitent activement une faille de sécurité critique dans JetBrains TeamCity pour pirater de manière opportuniste des serveurs vulnérables.
Les attaques, qui impliquent l’exploitation de CVE-2023-42793 (score CVSS : 9,8), ont été attribué à Diamond Sleet (alias Labyrinth Chollima) et Onyx Sleet (alias Andariel ou Silent Chollima).
Il convient de noter que les deux groupes d’activités de menace font partie du tristement célèbre acteur état-nation nord-coréen connu sous le nom de Groupe Lazarus.
Dans l’une des deux voies d’attaque utilisées par Diamond Sleet, une compromission réussie des serveurs TeamCity est suivie par le déploiement d’un implant connu appelé ForestTiger à partir d’une infrastructure légitime précédemment compromise par l’acteur menaçant.
Une deuxième variante des attaques exploite l’implantation initiale pour récupérer une DLL malveillante (DSROLE.dll alias RollSling ou Version.dll ou FeedLoad) qui est chargée au moyen d’une technique appelée détournement d’ordre de recherche de DLL pour soit exécuter une étape suivante. charge utile ou un cheval de Troie d’accès à distance (RAT).
Microsoft a déclaré avoir vu l’adversaire exploiter une combinaison d’outils et de techniques des deux séquences d’attaque dans certains cas.
Les intrusions montées par Onyx Sleet, quant à elles, utilisent l’accès offert par l’exploitation du bug JetBrains TeamCity pour créer un nouveau compte utilisateur nommé krtbgt qui est probablement destiné à usurper l’identité du ticket d’octroi de tickets Kerberos.
« Après avoir créé le compte, l’acteur malveillant l’ajoute au groupe d’administrateurs locaux via l’utilisation du réseau », a déclaré Microsoft. « L’acteur malveillant exécute également plusieurs commandes de découverte de système sur des systèmes compromis. »
Les attaques conduisent ensuite au déploiement d’un outil proxy personnalisé baptisé HazyLoad, qui permet d’établir une connexion persistante entre l’hôte compromis et l’infrastructure contrôlée par l’attaquant.
Une autre action post-compromission notable est l’utilisation du compte krtbgt contrôlé par l’attaquant pour se connecter à l’appareil compromis via le protocole de bureau à distance (RDP) et la résiliation du service TeamCity dans le but d’empêcher l’accès d’autres acteurs malveillants.
Au fil des années, le groupe Lazarus s’est imposé comme l’un des groupes de menaces persistantes avancées (APT) les plus pernicieux et les plus sophistiqués actuellement actifs, orchestrant des attaques de criminalité financière et d’espionnage à parts égales via des braquages de cryptomonnaies et des attaques de chaîne d’approvisionnement.
« Nous pensons certainement que le piratage nord-coréen des crypto-monnaies autour des infrastructures, partout dans le monde – y compris à Singapour, au Vietnam et à Hong Kong – est une source majeure de revenus pour le régime, qui est utilisée pour financer l’avancement du programme de missiles et bien plus encore. nombre de lancements que nous avons vus l’année dernière », a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale des États-Unis. dit.
Ce développement intervient alors que l’AhnLab Security Emergency Response Center (ASEC) a détaillé l’utilisation par le groupe Lazarus de familles de logiciels malveillants telles que Volgmer et Scout, qui servent de canal pour servir de portes dérobées pour contrôler les systèmes infectés.
« Le groupe Lazarus fait partie des groupes très dangereux et très actifs dans le monde, utilisant divers vecteurs d’attaque tels que le spear phishing et les attaques contre la chaîne d’approvisionnement », a déclaré la société sud-coréenne de cybersécurité. ditimpliquant l’équipe de piratage informatique dans une autre campagne nommée Operation Dream Magic.
Cela implique le montage attaques de points d’eau en insérant un lien malveillant dans un article spécifique sur un site d’information non spécifié qui exploite les failles de sécurité des produits INISAFE et MagicLine pour activer les infections, une tactique précédemment associé à le groupe Lazare.
Autre signe de l’évolution des programmes offensifs de la Corée du Nord, l’ASEC a attribué un autre acteur malveillant connu sous le nom de Kimsuky (alias APT43) à une nouvelle série d’attaques de spear-phishing qui utilisent le malware BabyShark pour installer une gamme hétéroclite d’outils de bureau à distance et de logiciels VNC (c’est-à-dire TightVNC et MinusculeNuke) pour réquisitionner les systèmes des victimes et exfiltrer les informations.