Новый бэкдор BianDoor находит индивидуальный подход для каждой жертвы.
ИБ-компания GuidePoint Security обнаружила, что группировка BianLian Для просмотра ссылки Войдиили Зарегистрируйся в программном обеспечении JetBrains TeamCity для проведения вымогательских атак.
Специалисты зафиксировали цепочку атак, начинающуюся с эксплуатации экземпляра TeamCity через уязвимости Для просмотра ссылки Войдиили Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся что позволило злоумышленникам получить первоначальный доступ к системе, создать новые аккаунты на сервере сборки и выполнить вредоносные команды для последующего проникновения и перемещения внутри сети. На данный момент неясно, какой из двух недостатков использовался для проникновения.
Особенность атак BianLian заключается в использовании специально разработанного для каждой жертвы бэкдора на языке Go, а также внедрении инструментов удаленного доступа – AnyDesk, Atera, SplashTop и TeamViewer.
Бэкдор BianLian Для просмотра ссылки Войдиили Зарегистрируйся как BianDoor. После нескольких неудачных попыток использовать стандартный бэкдор на Go, киберпреступники перешли к методу Living off the Land ( LotL ) и использовали реализацию своего бэкдора на PowerShell, которая обеспечивает практически идентичный функционал. Обфусцированный бэкдор PowerShell создает TCP-сокет для дополнительной связи с сервером управления и контроля (Command and Control, C2 ), позволяя хакерам выполнять произвольные действия на зараженном хосте с целью вымогательства.
Отметим, что CVE-2023-42793 Для просмотра ссылки Войдиили Зарегистрируйся на неисправленные серверы TeamCity. Эксплуатация уязвимости позволяет неаутентифицированному хакеру достигнуть удаленного выполнения кода (Remote Code Execution, RCE) без взаимодействия с пользователем. Как заявило агентство CISA, получение доступа к TeamCity позволяет атакующему повышать свои привилегии, перемещаться по сетям, устанавливать дополнительные бэкдоры и обеспечивать долгосрочный доступ к скомпрометированным сетям, в частности, к сетям разработчиков программного обеспечения.
Ошибка CVE-2024-27198 Для просмотра ссылки Войдиили Зарегистрируйся и затрагивает все версии TeamCity On-Premises до 2023.11.3 включительно. Уязвимость позволяют неаутентифицированному злоумышленнику с доступом по HTTP(S) к серверу TeamCity обойти проверку подлинности и получить административный контроль над сервером. Компрометация сервера TeamCity позволяет атакующему полностью контролировать все проекты, сборки, агенты и артефакты TeamCity, что делает его подходящим инструментом для проведения атак на цепочки поставок.
ИБ-компания GuidePoint Security обнаружила, что группировка BianLian Для просмотра ссылки Войди
Специалисты зафиксировали цепочку атак, начинающуюся с эксплуатации экземпляра TeamCity через уязвимости Для просмотра ссылки Войди
Особенность атак BianLian заключается в использовании специально разработанного для каждой жертвы бэкдора на языке Go, а также внедрении инструментов удаленного доступа – AnyDesk, Atera, SplashTop и TeamViewer.
Бэкдор BianLian Для просмотра ссылки Войди
Отметим, что CVE-2023-42793 Для просмотра ссылки Войди
Ошибка CVE-2024-27198 Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru