AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Attacchi nordcoreani sfruttano falla in JetBrains TeamCity

I dettagli degli attacchi del gruppo Lazarus Group sulle vulnerabilità di JetBrains TeamCity

Microsoft ha segnalato attacchi nordcoreani su JetBrains TeamCity, sfruttando una grave falla di sicurezza. Gli attacchi mirano a compromettere i server e utilizzano diverse tecniche, inclusi trojan e proxy personalizzati. Microsoft ha attribuito gli attacchi a gruppi noti legati al governo della Corea del Nord.

This pill is also available in English language

Secondo quanto riportato da Microsoft, attori di minaccia nordcoreani stanno sfruttando attivamente una grave vulnerabilità di sicurezza in JetBrains TeamCity per violare opportunisticamente server vulnerabili. Gli attacchi, che coinvolgono lo sfruttamento di CVE-2023-42793 (CVSS score: 9.8), sono stati attribuiti a Diamond Sleet (aka Labyrinth Chollima) e Onyx Sleet (aka Andariel o Silent Chollima). Entrambi i cluster di attività minacciose fanno parte del noto gruppo statale nordcoreano Lazarus Group.

Metodi di attacco utilizzati

In uno dei due percorsi di attacco utilizzati da Diamond Sleet, viene effettuata una compromissione di successo dei server di TeamCity seguita dall'implementazione di un impianto noto come ForestTiger da un'infrastruttura legittima precedentemente compromessa dall'attore minaccioso. Una seconda variante degli attacchi sfrutta la base iniziale per recuperare una DLL dannosa (DSROLE.dll aka RollSling o Version.dll o FeedLoad) che viene caricata tramite una tecnica chiamata hijacking dell'ordine di ricerca della DLL per eseguire un payload di fase successiva o un trojan di accesso remoto (RAT). Microsoft ha dichiarato di aver osservato che l'avversario utilizza una combinazione di strumenti e tecniche da entrambe le sequenze di attacco in alcuni casi.

Attacchi di Onyx Sleet e azioni successive

Gli intrusi montati da Onyx Sleet, invece, utilizzano l'accesso ottenuto sfruttando il bug di JetBrains TeamCity per creare un nuovo account utente chiamato krtbgt, presumibilmente con l'intento di impersonare il Kerberos Ticket Granting Ticket. "Dopo aver creato l'account, l'attore minaccioso lo aggiunge al gruppo Amministratori locali tramite net use" ha affermato Microsoft. "L'attore minaccioso esegue inoltre diversi comandi di scoperta di sistema sui sistemi compromessi". Gli attacchi portano successivamente all'implementazione di uno strumento proxy personalizzato chiamato HazyLoad che aiuta a stabilire una connessione persistente tra l'host compromesso e un'infrastruttura controllata dall'attaccante. Un'altra azione significativa successiva alla compromissione consiste nell'utilizzo dell'account krtbgt controllato dall'attaccante per accedere al dispositivo compromesso tramite il protocollo desktop remoto (RDP) e interrompere il servizio di TeamCity nel tentativo di prevenire l'accesso da parte di altri attori minacciosi.

Seguici su Facebook per altre pillole come questa

19/10/2023 08:50

Marco Verro

Ultime pillole

Il successo dell'Italia nella sicurezza informaticaCome l'Italia ha raggiunto l'eccellenza nella sicurezza informatica globale: strategie, collaborazioni e successi internazionali

Presunta violazione dei sistemi di Deloitte da parte di IntelBrokerServer esposto: come la sicurezza di Deloitte potrebbe essere stata compromessa da un cyber attacco

Infezioni di Vo1d su box Android TV: come proteggere i tuoi dispositiviScopri le misure essenziali per proteggere i tuoi box Android TV dal temibile malware Vo1d e mantenere i tuoi dispositivi al sicuro da minacce informatiche

Attacco hacker in Libano: Hezbollah sotto tiroShock tecnologico e feriti: la guerra cibernetica colpisce Hezbollah in Libano