Новости BianLian использует уязвимости JetBrains для вымогательства

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Новый бэкдор BianDoor находит индивидуальный подход для каждой жертвы.


q0hrtjf88x8c7im8jcmkzyvd8mwl8wkh.jpg


ИБ-компания GuidePoint Security обнаружила, что группировка BianLian Для просмотра ссылки Войди или Зарегистрируйся в программном обеспечении JetBrains TeamCity для проведения вымогательских атак.

Специалисты зафиксировали цепочку атак, начинающуюся с эксплуатации экземпляра TeamCity через уязвимости Для просмотра ссылки Войди или Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся что позволило злоумышленникам получить первоначальный доступ к системе, создать новые аккаунты на сервере сборки и выполнить вредоносные команды для последующего проникновения и перемещения внутри сети. На данный момент неясно, какой из двух недостатков использовался для проникновения.

Особенность атак BianLian заключается в использовании специально разработанного для каждой жертвы бэкдора на языке Go, а также внедрении инструментов удаленного доступа – AnyDesk, Atera, SplashTop и TeamViewer.

Бэкдор BianLian Для просмотра ссылки Войди или Зарегистрируйся как BianDoor. После нескольких неудачных попыток использовать стандартный бэкдор на Go, киберпреступники перешли к методу Living off the Land ( LotL ) и использовали реализацию своего бэкдора на PowerShell, которая обеспечивает практически идентичный функционал. Обфусцированный бэкдор PowerShell создает TCP-сокет для дополнительной связи с сервером управления и контроля (Command and Control, C2 ), позволяя хакерам выполнять произвольные действия на зараженном хосте с целью вымогательства.

Отметим, что CVE-2023-42793 Для просмотра ссылки Войди или Зарегистрируйся на неисправленные серверы TeamCity. Эксплуатация уязвимости позволяет неаутентифицированному хакеру достигнуть удаленного выполнения кода (Remote Code Execution, RCE) без взаимодействия с пользователем. Как заявило агентство CISA, получение доступа к TeamCity позволяет атакующему повышать свои привилегии, перемещаться по сетям, устанавливать дополнительные бэкдоры и обеспечивать долгосрочный доступ к скомпрометированным сетям, в частности, к сетям разработчиков программного обеспечения.

Ошибка CVE-2024-27198 Для просмотра ссылки Войди или Зарегистрируйся и затрагивает все версии TeamCity On-Premises до 2023.11.3 включительно. Уязвимость позволяют неаутентифицированному злоумышленнику с доступом по HTTP(S) к серверу TeamCity обойти проверку подлинности и получить административный контроль над сервером. Компрометация сервера TeamCity позволяет атакующему полностью контролировать все проекты, сборки, агенты и артефакты TeamCity, что делает его подходящим инструментом для проведения атак на цепочки поставок.
 
Источник новости
www.securitylab.ru

Похожие темы