Attacchi nordcoreani sfruttano falla in JetBrains TeamCity
I dettagli degli attacchi del gruppo Lazarus Group sulle vulnerabilità di JetBrains TeamCity
Microsoft ha segnalato attacchi nordcoreani su JetBrains TeamCity, sfruttando una grave falla di sicurezza. Gli attacchi mirano a compromettere i server e utilizzano diverse tecniche, inclusi trojan e proxy personalizzati. Microsoft ha attribuito gli attacchi a gruppi noti legati al governo della Corea del Nord.
Secondo quanto riportato da Microsoft, attori di minaccia nordcoreani stanno sfruttando attivamente una grave vulnerabilità di sicurezza in JetBrains TeamCity per violare opportunisticamente server vulnerabili. Gli attacchi, che coinvolgono lo sfruttamento di CVE-2023-42793 (CVSS score: 9.8), sono stati attribuiti a Diamond Sleet (aka Labyrinth Chollima) e Onyx Sleet (aka Andariel o Silent Chollima). Entrambi i cluster di attività minacciose fanno parte del noto gruppo statale nordcoreano Lazarus Group.
Metodi di attacco utilizzati
In uno dei due percorsi di attacco utilizzati da Diamond Sleet, viene effettuata una compromissione di successo dei server di TeamCity seguita dall'implementazione di un impianto noto come ForestTiger da un'infrastruttura legittima precedentemente compromessa dall'attore minaccioso. Una seconda variante degli attacchi sfrutta la base iniziale per recuperare una DLL dannosa (DSROLE.dll aka RollSling o Version.dll o FeedLoad) che viene caricata tramite una tecnica chiamata hijacking dell'ordine di ricerca della DLL per eseguire un payload di fase successiva o un trojan di accesso remoto (RAT). Microsoft ha dichiarato di aver osservato che l'avversario utilizza una combinazione di strumenti e tecniche da entrambe le sequenze di attacco in alcuni casi.
Attacchi di Onyx Sleet e azioni successive
Gli intrusi montati da Onyx Sleet, invece, utilizzano l'accesso ottenuto sfruttando il bug di JetBrains TeamCity per creare un nuovo account utente chiamato krtbgt, presumibilmente con l'intento di impersonare il Kerberos Ticket Granting Ticket. "Dopo aver creato l'account, l'attore minaccioso lo aggiunge al gruppo Amministratori locali tramite net use" ha affermato Microsoft. "L'attore minaccioso esegue inoltre diversi comandi di scoperta di sistema sui sistemi compromessi". Gli attacchi portano successivamente all'implementazione di uno strumento proxy personalizzato chiamato HazyLoad che aiuta a stabilire una connessione persistente tra l'host compromesso e un'infrastruttura controllata dall'attaccante. Un'altra azione significativa successiva alla compromissione consiste nell'utilizzo dell'account krtbgt controllato dall'attaccante per accedere al dispositivo compromesso tramite il protocollo desktop remoto (RDP) e interrompere il servizio di TeamCity nel tentativo di prevenire l'accesso da parte di altri attori minacciosi.
Seguici su Twitter per altre pillole come questa19/10/2023 08:50
Marco Verro