SolarWinds’ın arkasındaki devlet bağlantılı siber aktörler yeni kötü niyetli kampanyanın tohumlarını ekiyor


Dalış Özeti:

  • ABD’li yetkililer uyarıyor Rusya Dış İstihbarat Servisi (SVR) ile bağlantılı tehdit aktörleri Kapsamlı tedarik zinciri saldırılarına yol açabilecek dünya çapındaki bir çabanın parçası olarak JetBrains TeamCity yazılımındaki kritik bir güvenlik açığından yararlanılıyor.
  • FBI, Ulusal Güvenlik Ajansı, Siber Güvenlik ve Altyapı Güvenliği Ajansı ile İngiltere ve Polonyalı yetkililer, SolarWinds’e yönelik 2020 Sunburst saldırılarıyla bağlantılı bir tehdit grubu olan Nobelium/Midnight Blizzard’ın dünya çapında yüzlerce yama yapılmamış TeamCity sunucusunu hedef aldığını söyledi. yazılım geliştirmede yaygın olarak kullanılmaktadır.
  • Yetkililer, bilgisayar korsanlarının henüz tedarik zinciri saldırıları başlatmadığını, ancak ilk erişimlerini ayrıcalıkları artırmak, sistemler içinde yanal hareket etmek ve daha büyük saldırılara hazırlık amacıyla kötü niyetli arka kapılar kurmak için kullandıklarını söyledi.

Dalış Bilgisi:

Yetkililer şu anda ABD, Avrupa, Asya ve Avustralya’da ele geçirilen birkaç düzine şirketin farkında olduklarını söyledi. 100’den fazla cihazın güvenliği ihlal edildi.

Şu ana kadar teyit edilen olaylar, bir enerji ticareti grubu, tıbbi cihazlara yönelik yazılım firmaları, müşteri hizmetleri, finansal yönetim ve video oyunları da dahil olmak üzere çok çeşitli hedefleri vurdu.

Shadowserver’dan gelen veriler şunları gösterir: Dünya çapında 800 yama yapılmamış örnek Çarşamba itibariyle.

JetBrains müşterilerini şunu yapmaya çağırıyor: TeamCity sunucularını sabit sürüme yükseltin ve internet bağlantısını kesmek için hemen yükseltme yapamazlarsa.

Ekim ayında Microsoft araştırmacıları Kuzey Kore bağlantılı devlete bağlı bilgisayar korsanları hakkında uyarıldı olarak listelenen güvenlik açığından yararlanılıyor CVE-2023-42793TeamCity’nin şirket içi sürümünde uzaktan kod yürütülmesine olanak sağlayan.

Diamond Sleet ve Onyx Sleet olarak tanımlanan Kuzey Kore bağlantılı bilgisayar korsanlarının, ForestTiger arka kapılarını kurmak ve ardından kötü amaçlı yükler başlatmak için birlikte çalıştıkları görüldü.

Ekimde, Fortiguard Labs bir olaya müdahale etti ABD’deki bir biyomedikal üretim firmasında, tehdit aktörü tarafından kullanılan ve APT 29 olarak da bilinen GraphicalProton kötü amaçlı yazılımıyla eşleşen özel yerleşik kötü amaçlı yazılım bulundu.

TeamCity, SolarWinds tarafından da kullanılıyordu ancak Ocak 2021’de JetBrains, ilk erişim için kullanıldığı reddedildi SolarWinds’e girdi ve saldırıya yol açabilecek herhangi bir güvenlik açığının farkında değildi.



Source link