{"id":1189589,"date":"2024-03-11T18:19:25","date_gmt":"2024-03-11T20:19:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-acteurs-de-la-menace-bianlian-exploitent-les-failles-de-jetbrains-teamcity-dans-les-attaques-de-ransomwares\/"},"modified":"2024-03-11T18:19:29","modified_gmt":"2024-03-11T20:19:29","slug":"les-acteurs-de-la-menace-bianlian-exploitent-les-failles-de-jetbrains-teamcity-dans-les-attaques-de-ransomwares","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-acteurs-de-la-menace-bianlian-exploitent-les-failles-de-jetbrains-teamcity-dans-les-attaques-de-ransomwares\/","title":{"rendered":"Les acteurs de la menace BianLian exploitent les failles de JetBrains TeamCity dans les attaques de ransomwares"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 mars 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Ransomware \/ Vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Les-acteurs-de-la-menace-BianLian-exploitent-les-failles-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les acteurs malveillants \u00e0 l&#8217;origine du ransomware BianLian ont \u00e9t\u00e9 observ\u00e9s en train d&#8217;exploiter les failles de s\u00e9curit\u00e9 du logiciel JetBrains TeamCity pour mener leurs attaques d&#8217;extorsion uniquement.<\/p>\n<p>Selon un <a rel=\"nofollow noopener\" href=\"https:\/\/www.guidepointsecurity.com\/blog\/bianlian-gos-for-powershell-after-teamcity-exploitation\/\" target=\"_blank\">nouveau rapport<\/a> Selon GuidePoint Security, qui a r\u00e9pondu \u00e0 une intrusion r\u00e9cente, l&#8217;incident &#8220;a commenc\u00e9 avec l&#8217;exploitation d&#8217;un serveur TeamCity qui a abouti au d\u00e9ploiement d&#8217;une impl\u00e9mentation PowerShell de la porte d\u00e9rob\u00e9e Go de BianLian&#8221;.<\/p>\n<p>BianLian est apparu en juin 2022 et s&#8217;est depuis tourn\u00e9 exclusivement vers l&#8217;extorsion bas\u00e9e sur l&#8217;exfiltration apr\u00e8s la sortie d&#8217;un d\u00e9crypteur en janvier 2023.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/delinea728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708012425_568_Les-pirates-informatiques-russes-de-Turla-ciblent-les-ONG-polonaises.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La cha\u00eene d&#8217;attaque observ\u00e9e par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 implique l&#8217;exploitation d&#8217;une instance TeamCity vuln\u00e9rable \u00e0 l&#8217;aide de CVE-2024-27198 ou CVE-2023-42793 pour obtenir un premier acc\u00e8s \u00e0 l&#8217;environnement, suivie de la cr\u00e9ation de nouveaux utilisateurs sur le serveur de build et de l&#8217;ex\u00e9cution de commandes malveillantes pour post-exploitation et mouvement lat\u00e9ral.<\/p>\n<p>Il n\u2019est actuellement pas clair laquelle des deux failles a \u00e9t\u00e9 utilis\u00e9e par l\u2019acteur mena\u00e7ant \u00e0 des fins d\u2019infiltration.<\/p>\n<p>Les acteurs BianLian sont <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa23-136a\" target=\"_blank\">connu<\/a> pour implanter une porte d\u00e9rob\u00e9e personnalis\u00e9e adapt\u00e9e \u00e0 chaque victime \u00e9crite en Go, ainsi que pour supprimer des outils de bureau \u00e0 distance comme AnyDesk, Atera, SplashTop et TeamViewer.  La porte d\u00e9rob\u00e9e est suivie par Microsoft comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/malware-encyclopedia-description?Name=Backdoor:Win64\/BianDoor!MTB&amp;threatId=-2147124525\" target=\"_blank\">BianPorte<\/a>.<\/p>\n<p>&#8220;Apr\u00e8s plusieurs tentatives infructueuses pour ex\u00e9cuter sa porte d\u00e9rob\u00e9e Go standard, l&#8217;acteur malveillant s&#8217;est tourn\u00e9 vers la vie hors du terrain et a exploit\u00e9 une impl\u00e9mentation PowerShell de sa porte d\u00e9rob\u00e9e, qui fournit une fonctionnalit\u00e9 presque identique \u00e0 celle qu&#8217;il aurait avec sa porte d\u00e9rob\u00e9e Go.&#8221; \u00bb ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Justin Timothy, Gabe Renfro et Keven Murphy.<\/p>\n<p>La porte d\u00e9rob\u00e9e PowerShell obscurcie (\u00ab web.ps1 \u00bb) est con\u00e7ue pour \u00e9tablir un socket TCP pour une communication r\u00e9seau suppl\u00e9mentaire avec un serveur contr\u00f4l\u00e9 par un acteur, permettant ainsi aux attaquants distants de mener des actions arbitraires sur un h\u00f4te infect\u00e9.<\/p>\n<p>&#8220;La porte d\u00e9rob\u00e9e, d\u00e9sormais confirm\u00e9e, est capable de communiquer avec le [command-and-control] serveur et s&#8217;ex\u00e9cutent de mani\u00e8re asynchrone en fonction des objectifs post-exploitation de l&#8217;attaquant distant&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>La divulgation intervient alors que VulnCheck d\u00e9taille de nouveaux exploits de preuve de concept (PoC) pour une faille de s\u00e9curit\u00e9 critique affectant Atlassian Confluence Data Center et Confluence Server (CVE-2023-22527) qui pourrait conduire \u00e0 l&#8217;ex\u00e9cution de code \u00e0 distance sans fichier et au chargement du fichier. Shell Web Godzilla directement en m\u00e9moire.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-hardened-images-platforms\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Un-nouveau-kit-de-phishing-exploite-les-SMS-et-les.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La faille a depuis \u00e9t\u00e9 utilis\u00e9e pour d\u00e9ployer le ransomware C3RB3R, les mineurs de crypto-monnaie et les chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance au cours des deux derniers mois, ce qui indique une exploitation g\u00e9n\u00e9ralis\u00e9e dans la nature.<\/p>\n<p>&#8220;Il existe plusieurs fa\u00e7ons d&#8217;atteindre Rome&#8221;, Jacob Baines de VulnCheck <a rel=\"nofollow noopener\" href=\"https:\/\/vulncheck.com\/blog\/confluence-dreams-of-shells\" target=\"_blank\">not\u00e9<\/a>.  &#8220;Bien que l&#8217;utilisation de freemarker.template.utility.Execute semble \u00eatre le moyen populaire d&#8217;exploiter CVE-2023-22527, d&#8217;autres chemins plus furtifs g\u00e9n\u00e8rent des indicateurs diff\u00e9rents.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/03\/bianlian-threat-actors-exploiting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 mars 2024\ue804R\u00e9dactionRansomware \/ Vuln\u00e9rabilit\u00e9 Les acteurs malveillants \u00e0 l&#8217;origine du ransomware BianLian ont \u00e9t\u00e9 observ\u00e9s en train d&#8217;exploiter les failles de s\u00e9curit\u00e9 du logiciel JetBrains TeamCity pour mener leurs attaques d&#8217;extorsion uniquement. Selon un nouveau rapport Selon GuidePoint Security, qui a r\u00e9pondu \u00e0 une intrusion r\u00e9cente, l&#8217;incident &#8220;a commenc\u00e9 avec l&#8217;exploitation d&#8217;un serveur TeamCity [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1189590,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3178,200292,8074,105227,4168,4165,4161,200267,429,8736,4806,206312,4159,4171,65,200271,596,200268,200269,200270,63091,128318,4172,4169,206313,4166,4164],"class_list":["post-1189589","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-acteurs","tag-actualites-sur-la-cybersecurite","tag-attaques","tag-bianlian","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dans","tag-exploitent","tag-failles","tag-jetbrains","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-menace","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-ransomwares","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-teamcity","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1189589","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1189589"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1189589\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1189590"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1189589"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1189589"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1189589"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}