Siber Savaş / Ulus-Devlet Saldırıları, DevSecOps, Dolandırıcılık Yönetimi ve Siber Suçlar
Pyongyang Hackerları Kritik TeamCity Sunucu Hatasını İstismar Ediyor
Prajeet Nair (@prajeetspeaks) •
18 Ekim 2023
Kuzey Koreli ulus devlet tehdit aktörleri, DevSecOps aracının birden fazla sürümünü etkileyen kritik bir uzaktan kod yürütme güvenlik açığından yararlanıyor; özellikle Pyongyang bilgisayar korsanlarının tedarik zinciri hacklemelerindeki son performansı göz önüne alındığında, yüksek riskli bir gelişme.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Microsoft’taki araştırmacılar Çarşamba günü yaptığı açıklamada, Diamond Sleet ve Onyx Sleet olarak takip edilen Kuzey Kore ulus devleti tehdit aktörlerinin, JetBrains TeamCity sunucusunun birden fazla sürümünü etkileyen bir uzaktan kod yürütme güvenlik açığından yararlandığını söyledi.
JetBrains, TeamCity yapı yönetimi ve sürekli entegrasyon sunucusuna yama uygulamak için 21 Eylül’de kritik bir güvenlik güncellemesi yayınladı.
SonarSource ilk olarak kusuru tanımladı ve CVE-2023-42793 olarak takip edildi ve bu güvenlik açığının kimliği doğrulanmamış saldırganların TeamCity şirket içi sunucusunda rastgele kod çalıştırmasına izin verdiğini, bunun da saldırganların kaynak kodunu, hizmet sırlarını ve özel anahtarları çalmasına olanak sağladığını söyledi (bkz.: Fidye Yazılımı Aktörleri Kritik Hatalardan Yararlanıyor ve DevOps Aracını Hedefliyor).
TeamCity’nin şirket içi CI/CD sunucusu, aralarında Nike, Ferrari, Citibank ve Ubisoft’un da bulunduğu dünya çapında 30.000’den fazla kullanıcı tarafından kullanılıyor. TeamCity gibi sunucular saldırganlar için yüksek değerli hedeflerdir.
Kuzey Koreli ulus devlet tehdit aktörü Diamond Sleet casusluğa, veri hırsızlığına, mali kazançlara ve ağ imhasına öncelik veriyor. Dünya çapında medyayı, BT hizmetlerini ve savunmayla ilgili kuruluşları hedef aldığı biliniyor.
Diamond Sleet daha önce Ocak 2021’de güvenlik araştırmacılarını hedef aldı ve Eylül 2022’de açık kaynaklı yazılımı silahlandırdı. Ağustos ayında bir Alman yazılım sağlayıcısının yazılım tedarik zincirinde uzlaşmaya vardı (bkz: Kuzey Koreli Hackerlar Güney Kore Donanma Tersanelerini Hedef Aldı).
Onyx Sleet, öncelikle Güney Kore, ABD ve Hindistan’daki savunma ve BT hizmetleri kuruluşlarını hedef alan bir başka Kuzey Kore ulus devleti tehdit aktörüdür. Kurban ortamlarına kalıcı erişim sağlamak ve tespit edilmeden kalmak için şirket içinde geliştirilen bir dizi araç kullanır.
Kuzey Koreli bilgisayar korsanları bu yılın başlarında, bir finansal ticaret yazılımı geliştiricisine karşı bir tedarik zinciri hacklemesi kullanarak masaüstü telefon geliştiricisi 3CX’e ikinci bir tedarik zinciri hacklemesi gerçekleştirerek olası bir ilki gerçekleştirdi (bkz: Kuzey Koreli Hackerlar Tedarik Zinciri Hack’lerini 3CX’e Ulaşmak İçin Zincirledi).
Saldırı Analizi
Diamond Sleet arka kapıyı kullandı Forest64.exe, “Orman Kaplanı” olarak bilinir. Bilgisayar korsanları TeamCity sunucularını başarıyla ele geçirdikten sonra, daha önce tehdit aktörü tarafından ele geçirilen yasal altyapıdan iki veriyi (arka kapı ve kötü amaçlı yazılım yapılandırma dosyası) indirmek için PowerShell’i kullanıyorlar.
ForestTiger başlatıldığında yapılandırma dosyasını kontrol eder ve ardından komut ve kontrol sunucusu gibi parametreleri elde etmek için gömülü bir anahtar kullanarak bu dosyanın içeriğini okur ve şifresini çözer.
Microsoft, ForestTiger’ın adında zamanlanmış bir görev oluşturduğunu söyledi Windows TeamCity Settings User Interface sistem her başlatıldığında çalışacak.
Diamond Sleet ayrıca saldırganın kontrol ettiği altyapıdan kötü amaçlı bir DLL indirmek için ele geçirilen sunucularda PowerShell’i kullanıyor. Bu kötü amaçlı DLL meşru bir şekilde hazırlanmıştır. .exe DLL arama sırası ele geçirme işlemini gerçekleştirmek için dosya.
Onyx Sleet, ele geçirilen sistemlerde “krtbgt” adlı yeni bir kullanıcı hesabı oluşturmak için TeamCity açığını kullandı. Microsoft, adın muhtemelen Kerberos Bilet Verme Bileti olan meşru Windows hesap adı KRBTGT’yi taklit etmeyi amaçladığını söyledi.
Tehdit aktörü, kullanıcı hesabını yerel yöneticiler grubuna ekler ve bu, güvenliği aşılmış sistemlerde aşağıdakiler de dahil olmak üzere çeşitli sistem bulma komutlarını çalıştırmasına olanak tanır:
net localgroup 'Remote Desktop Users'net localgroup Administratorscmd.exe "/c tasklist | findstr Sec"cmd.exe "/c whoami"cmd.exe "/c netstat -nabp tcp"cmd.exe "/c ipconfig /all"cmd.exe "/c systeminfo"
PowerShell aracılığıyla saldırganın kontrol ettiği altyapıdan indirerek güvenliği ihlal edilmiş sistemlere benzersiz bir veri dağıtır. Bu veri, belleğe yüklenen ve doğrudan başlatılan gömülü bir PE kaynağını yükler ve şifresini çözer.
Microsoft, “İç veri, güvenliği ihlal edilmiş ana bilgisayar ile saldırgan tarafından kontrol edilen altyapı arasında kalıcı bir bağlantı kurulmasına yardımcı olan bir proxy aracıdır. Microsoft Defender Antivirus, bu proxy aracını HazyLoad olarak algılar” dedi.
Microsoft, saldırganların ele geçirilen cihazda uzak masaüstü protokolü aracılığıyla oturum açmak için “krtbgt” hesabını kullandığını gözlemlediğini ve diğer bilgisayar korsanlarının TeamCity’e erişmek için bu güvenlik açığından yararlanmasını engellemek için girişimlerde bulunduğunu söyledi.