Trend Micro araştırmacılarına göre saldırganlar, fidye yazılımı, kripto madencileri ve uzaktan erişim truva atlarını (RAT'lar) dağıtmak için yakın zamanda yamalanan JetBrains TeamCity kimlik doğrulama güvenlik açığından (CVE-2024-27198) yararlanıyor.
CVE-2024-27198 zaman çizelgesi
TeamCity sunucusunu etkileyen bir kimlik doğrulama atlama güvenlik açığı olan CVE-2024-27198, aynı örnekte bir dizin geçiş güvenlik açığı olan CVE-2024-27199 ile birlikte ortaya çıkarıldı ve Mart ayının başında düzeltildi.
O zamandan beri çok sayıda kavram kanıtı (PoC) istismarı yayınlandı ve analistler kısa süre sonra CVE-2024-27198'in büyük çapta istismar edildiğini görmeye başladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), güvenlik açığını, açıklamadan birkaç gün sonra Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna (KEV) ekledi.
O zamanlar saldırganların, WannaCry'yi taklit eden ve güvenlik ekipleri tarafından fidye yazılımı saldırısını simüle etmek için kullanılan açık kaynaklı bir araç olan Jasmin fidye yazılımını düşürdüğü zaten görülüyordu. İddiaya göre değiştirilmiş Saldırganlar tarafından kötü amaçlarla.
Meşru araçlardan yararlanma
Trend Micro araştırmacıları, kusurdan yararlanan ve farklı türde kötü amaçlı yükler dağıtan çeşitli saldırganların ana hatlarını çizdi.
Bazılarının açık kaynaklı XMRig kripto para madenciliği kötü amaçlı yazılımının bir çeşidini dağıttığı görüldü, diğerleri ise açık kaynaklı Golang tabanlı SparkRAT arka kapısını konuşlandırdı.
“Kripto para madenci kurulumuna benzer şekilde, SparkRAT'ı dağıtan tehdit aktörleri de çok aşamalı bir saldırı gerçekleştirmek için çeşitli toplu iş dosyaları ve LOLBin'ler kullandı” dediler.
Bazı saldırganlar ayrıca gelecekteki faaliyetlere zemin hazırlamak amacıyla Kobalt Saldırısı işaretlerini de kullandı.
Son olarak araştırmacılar, kullanıcı hesaplarını, grupları ve sisteme erişim izinlerini manipüle etmeyi amaçlayan, ağ altyapısını keşfetmeye ve kalıcılık kazanmaya yönelik çok sayıda girişimi de fark ettiler.
“Yerel Yöneticiler grubuna bir kullanıcı ekleme girişimi özellikle kaygı vericidir, çünkü saldırganlara yükseltilmiş ayrıcalıklar verebilir ve sistemde erişimi uzun süre sürdürmek için kullanılabilecek bir dayanak oluşturmalarına yardımcı olabilir” diye açıkladılar.
Araştırmacılar, kuruluşların, özellikle de yamalar yayınlandıktan hemen sonra Jet Brains TeamCity örneklerini güvence altına almamışlarsa, güvenliklerinin ihlal edilip edilmediğini kontrol etmek için kullanabileceği güvenlik ihlali göstergelerini (IoC'ler) paylaştı.
JetBrains ayrıca yakın zamanda sunucularının güvenliğini zamanında sağlayamayanlar için araştırma ve düzeltme kılavuzu da yayınladı.