BianLian fidye yazılımının arkasındaki tehdit aktörlerinin, yalnızca gasp amaçlı saldırılar gerçekleştirmek için JetBrains TeamCity yazılımındaki güvenlik kusurlarından yararlandıkları gözlemlendi.
GuidePoint Security'nin yakın tarihli bir izinsiz girişe yanıt veren yeni bir raporuna göre, olay “TeamCity sunucusunun kötüye kullanılmasıyla başladı ve bu da BianLian'ın Go arka kapısının PowerShell uygulamasının konuşlandırılmasıyla sonuçlandı.”
BianLian, Haziran 2022'de ortaya çıktı ve Ocak 2023'te bir şifre çözücünün piyasaya sürülmesinin ardından yalnızca sızmaya dayalı gasplara yöneldi.
Siber güvenlik firması tarafından gözlemlenen saldırı zinciri, ortama ilk erişim sağlamak için CVE-2024-27198 veya CVE-2023-42793 kullanarak savunmasız bir TeamCity örneğinin istismar edilmesini, ardından derleme sunucusunda yeni kullanıcılar oluşturulmasını ve kötü amaçlı komutların çalıştırılmasını içeriyor. kullanım sonrası ve yanal hareket.
Şu anda iki kusurdan hangisinin tehdit aktörü tarafından sızma amacıyla silah haline getirildiği belli değil.
BianLian oyuncularının Go'da yazılan her kurbana özel bir arka kapı yerleştirdikleri ve ayrıca AnyDesk, Atera, SplashTop ve TeamViewer gibi uzak masaüstü araçlarını bıraktıkları biliniyor. Arka kapı Microsoft tarafından BianDoor olarak izleniyor.
“Standart Go arka kapısını uygulamaya yönelik çok sayıda başarısız girişimin ardından, tehdit aktörü arazi dışında yaşamaya yöneldi ve arka kapılarının PowerShell uygulamasından yararlandı; bu, Go arka kapılarıyla neredeyse aynı işlevselliğe sahip oldu.” güvenlik araştırmacıları Justin Timothy, Gabe Renfro ve Keven Murphy söyledi.
Gizlenmiş PowerShell arka kapısı (“web.ps1”), aktör tarafından kontrol edilen bir sunucuyla ek ağ iletişimi için bir TCP soketi oluşturmak üzere tasarlanmıştır ve uzak saldırganların virüslü bir ana bilgisayar üzerinde rastgele eylemler gerçekleştirmesine olanak tanır.
“Artık onaylanan arka kapı, [command-and-control] Araştırmacılar, sunucunun uzak saldırganın istismar sonrası hedeflerine göre eşzamansız olarak yürütüldüğünü söyledi.
Açıklama, VulnCheck'in, Atlassian Confluence Veri Merkezi ve Confluence Sunucusunu (CVE-2023-22527) etkileyen, dosyasız bir şekilde uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik kusuruna yönelik ayrıntılı yeni kavram kanıtlama (PoC) istismarları sırasında geldi. Godzilla web kabuğunu doğrudan belleğe aktarır.
Kusur, son iki ay içinde C3RB3R fidye yazılımını, kripto para birimi madencilerini ve uzaktan erişim truva atlarını dağıtmak için silah haline getirildi ve bu da vahşi doğada yaygın bir istismara işaret ediyor.
VulnCheck'ten Jacob Baines, “Roma'ya ulaşmanın birden fazla yolu var” dedi. “freemarker.template.utility.Execute kullanımı, CVE-2023-22527'den yararlanmanın popüler yolu gibi görünse de, diğer daha gizli yollar farklı göstergeler oluşturur.”