Microsoft, Diamond Sleet ve Onyx Sleet adlı iki Kuzey Koreli ulus devlet tehdit aktörünün CVE-2023-42793’ü istismar ettiğini tespit etti. Bu güvenlik açığı, DevOps ve yazılım geliştirme faaliyetleri için yaygın olarak kullanılan çeşitli JetBrains TeamCity sunucu sürümlerinde uzaktan kod yürütülmesine olanak tanıyor.
Diamond Sleet ve diğer Kuzey Koreli tehdit aktörleri, yapı ortamına sızma yoluyla yazılım tedarik zinciri saldırıları gerçekleştirdi ve etkilenen kuruluşlar için yüksek risk oluşturdu.
JetBrains, güvenlik açığını gidermek için bir güncelleme yayınladı ve en son sürüme güncelleme yapamayan kullanıcılar için bu güvenlik açığını azaltma olanağı sunuyor.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Kuzey Koreli Hackerlar TeamCity Kusurunu İstismar Ediyor
Diamond Sleet (ZINC), genellikle küresel medyayı, BT’yi ve savunma kuruluşlarını hedef alan, casusluk, veri hırsızlığı ve ağ kesintilerine odaklanan Kuzey Koreli bir tehdit aktörüdür.
Dahası, yine Kuzey Koreli olan Onyx Sleet (PLUTONIUM), kalıcı, gizli erişim için gelişmiş araçlar kullanarak öncelikli olarak Güney Kore, ABD ve Hindistan’daki savunma ve BT hizmetlerini hedef alıyor.
Diamond Sleet ve Onyx Sleet aynı güvenlik açığından yararlanıyor ancak başarılı bir sızma sonrasında farklı araçlar ve taktikler kullanıyor. Microsoft, bu aktörlerin fırsatçı bir şekilde savunmasız sunucuları hedeflediğine, kötü amaçlı yazılım dağıttığına ve kalıcı erişim teknikleri kullandığına inanıyor.
Microsoft, ortamlarının güvenliğinin sağlanmasına yardımcı olmak için etkilenen müşterilere doğrudan bildirimde bulunur. Diamond Sleet, TeamCity sunucularını ihlal ettikten sonra, C:\ProgramData’da depolanan daha önce güvenliği ihlal edilmiş meşru altyapıdan iki veri yükünü almak için PowerShell’i kullanıyor:
- Forest64.exe
- 4800-84DC-063A6A41C5C
Forest64.exe kalıcılık için zamanlanmış bir görev oluşturur ve Diamond Sleet, Microsoft Defender Antivirus tarafından ForestTiger olarak algılanan LSASS bellek kimlik bilgilerini çıkarmak için ForestTiger arka kapısını kullanır.
Diamond Sleet, ele geçirilen sunuculara kötü amaçlı bir DLL getirmek için PowerShell’i kullanıyor. DLL, C:\ProgramData dizinine yerleştirilir ve burada Microsoft tarafından görüldüğü gibi meşru bir .exe dosyasıyla (özellikle DSROLE.dll ve Version.dll) birlikte DLL arama sırası ele geçirme işlemine girişir.
Onyx Sleet, ele geçirilen sistemlerde ‘KRBTGT’yi taklit ederek ‘krtbgt’ adında yeni bir kullanıcı hesabı oluşturuyor.
Bunu Yerel Yöneticiler Grubuna eklerler, sistem keşfi gerçekleştirirler ve PowerShell kullanarak benzersiz bir veri dağıtarak saldırgan tarafından kontrol edilen altyapıyla kalıcı bir bağlantı kurarlar.
Öneriler
Ancak aşağıda, güvenlik araştırmacılarının önerdiği tüm önerilerden bahsettik: –
- CVE-2023-42793 için JetBrains güncellemesini veya azaltıcı önlemleri uygulayın.
- Potansiyel izinsiz girişleri tespit etmek için ortamınızda sağlanan güvenlik ihlali göstergelerini kontrol edin.
- IOC tablosunda listelenen IP’lerden gelen trafiği engelleyin.
- Microsoft Defender Antivirus ile bu tehdide karşı savunun.
- Etkilenen cihazdaki kötü amaçlı etkinliklere karşı hızlı bir şekilde harekete geçin. Kötü amaçlı kod etkinse saldırgan tam kontrole sahip olabilir.
- Güvenliği ihlal edilmiş hesaplardan birinde yanal hareket belirtileri olup olmadığını görmek için cihazın zaman çizelgesini inceleyin.
- ‘Güvenli DLL Arama Modu’nun etkin olduğunu doğrulayın.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.