Rusya Dış İstihbarat Servisi’ne (SVR) bağlı tehdit aktörleri, Eylül 2023’ten bu yana yaygın saldırılarla yama yapılmamış JetBrains TeamCity sunucularını hedef alıyor.
Faaliyet, olarak bilinen bir ulus devlet grubuna bağlandı. APT29Aynı zamanda BlueBravo, Cloaked Ursa, Cosy Bear, Midnight Blizzard (eski adıyla Nobelium) ve The Dukes isimleriyle de takip edilmektedir. Bu, 2020’de SolarWinds’i ve müşterilerini hedef alan tedarik zinciri saldırısıyla dikkat çekiyor.
“Ancak SVR’nin, TeamCity CVE’den yararlanarak ayrıcalıklarını yükseltmek, yanlara doğru hareket etmek, ek arka kapılar dağıtmak ve güvenliği ihlal edilmiş ağ ortamlarına kalıcı ve uzun vadeli erişim sağlamak için başka adımlar atarak elde edilen ilk erişimi kullandığı gözlemlendi.” Polonya, İngiltere ve ABD’den siber güvenlik kurumları söyledi.
Söz konusu güvenlik açığı CVE-2023-42793’tür (CVSS puanı: 9,8), kimliği doğrulanmamış saldırganlar tarafından etkilenen sistemlerde uzaktan kod yürütmek amacıyla silah olarak kullanılabilecek kritik bir güvenlik açığıdır. O günden bu yana aktif olarak sömürülmeye başlandı. hack ekipleriKötü amaçlı yazılım dağıtımı için Kuzey Kore ile ilişkili olanlar dahil.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
Ajanslar, “TeamCity’nin kötüye kullanılması genellikle SVR’ye ağ ortamında avantajlı bir yer kazandıran yüksek ayrıcalıklara sahip kod yürütülmesiyle sonuçlandı” dedi.
“TeamCity sunucusuna erişim tehlikeye girerse, kötü niyetli aktörlere söz konusu yazılım geliştiricinin kaynak koduna, imza sertifikalarına erişim ve yazılım derleme ve dağıtım süreçlerini altüst etme yeteneği sağlanacak; kötü niyetli bir aktör, tedarik zinciri operasyonlarını yürütmek için bundan sonra kullanabilir.”
Başarılı bir ilk erişimi genellikle keşif, ayrıcalık yükseltme, yanal hareket ve veri sızması takip eder ve aynı zamanda EDRSandBlast adı verilen açık kaynaklı bir araç kullanılarak tespitten kaçınmak için adımlar atılır. Saldırıların nihai hedefi, ek yükler sağlamak için yükleyici olarak işlev gören GraphicalProton kod adlı bir arka kapı dağıtmaktır.
VaporRage olarak da bilinen GraphicalProton, OneDrive’ı birincil komuta ve kontrol (C2) iletişim kanalı olarak kullanır ve Dropbox bir geri dönüş mekanizması olarak kabul edilir. Tehdit aktörü tarafından, dünya çapındaki diplomatik ajansları öne çıkaran Diplomatic Orbiter adlı devam eden bir kampanyanın parçası olarak kullanıldı.
ABD, Avrupa, Asya ve Avustralya’da bulunan 100 kadar cihazın, fırsatçı saldırı olduğundan şüphelenilen saldırılar sonucunda ele geçirildiği söyleniyor.
Kampanyanın hedefleri arasında bir enerji ticareti birliği; faturalandırma, tıbbi cihazlar, müşteri hizmetleri, çalışan izleme, finansal yönetim, pazarlama, satış ve video oyunları için yazılım sağlayan firmalar; barındırma şirketlerinin, araç üreticilerinin ve küçük ve büyük BT kuruluşlarının yanı sıra.
Açıklama, Microsoft’un, ağlara sızmak, verilere sızmak ve SharpWipe (diğer adıyla WalnutWipe) gibi yıkıcı kötü amaçlı yazılımları dağıtmak amacıyla Rusya’nın Haziran ile Eylül 2023 arasında Ukrayna’nın tarım sektörüne yönelik çok yönlü saldırısını ortaya çıkarmasıyla geldi.
İzinsiz girişlerin sırasıyla Aqua Blizzard (eski adıyla Actinium) ve Seashell Blizzard (eski adıyla Iridium) kod adlı iki ulus devlet grubuyla bağlantılı olduğu ortaya çıktı.
Seashell Blizzard’ın ayrıca ilk erişim elde etmek için DarkCrystalRAT (diğer adıyla DCRat) arka kapısını barındıran korsan Microsoft Office yazılımından yararlandığı, daha sonra bunu Microsoft Defender kılığına giren ancak gerçekte bir tane yükleyen Shadowlink adlı ikinci aşama yükünü indirmek için kullandığı gözlemlendi. Gizli uzaktan erişim için TOR hizmeti.
Teknoloji devi, “Midnight Blizzard, parola spreyi, üçüncü taraflardan edinilen kimlik bilgileri, Teams aracılığıyla inandırıcı sosyal mühendislik kampanyaları ve bulut ortamlarına sızmak için bulut hizmetlerinin kötüye kullanılması yoluyla mutfak lavabosu yaklaşımını benimsedi” dedi.
Microsoft ayrıca, 2022 baharından bu yana Ukrayna’nın uluslararası destekçilerini hedef alan karmaşık Rusya yanlısı nüfuz operasyonları yürüten Storm-1099 (diğer adıyla Doppelganger) adını verdiği Rusya bağlantılı nüfuz aktörünün altını çizdi.
Diğer etkileme çabaları arasında, Ukrayna karşıtı video içeriğini yaymak ve Başkan Volodymyr Zelensky’yi madde bağımlılığı sorunlarından muzdarip olduğunu iddia ederek kötülemek için ana akım medyayı yanıltmak ve Cameo’da paylaşılan ünlü videolarını aldatıcı bir şekilde düzenlemek yer alıyor; bu da savaşa ilişkin küresel algıları çarpıtmaya yönelik devam eden çabaların altını çiziyor.
Microsoft, “Bu kampanya, çevrimiçi bilgi alanındaki anlatıyı ilerletmek isteyen Rusya yanlısı aktörlerin yeni bir yaklaşımını işaret ediyor” dedi. “Rus siber ve etki operatörleri Ukrayna’ya karşı savaş boyunca uyum sağlama yeteneği gösterdi.”