AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Middle East Low Code No Code Summit TimeAI Summit

Attacchi nordcoreani sfruttano falla in JetBrains TeamCity

I dettagli degli attacchi del gruppo Lazarus Group sulle vulnerabilità di JetBrains TeamCity

Microsoft ha segnalato attacchi nordcoreani su JetBrains TeamCity, sfruttando una grave falla di sicurezza. Gli attacchi mirano a compromettere i server e utilizzano diverse tecniche, inclusi trojan e proxy personalizzati. Microsoft ha attribuito gli attacchi a gruppi noti legati al governo della Corea del Nord.

Contribuisci a diffondere la cultura della prevenzione!
Sostieni la nostra causa con una piccola donazione aiutandoci a sensibilizzare utenti e aziende sulle minacce informatiche e sulle soluzioni di difesa.

This pill is also available in English language

Secondo quanto riportato da Microsoft, attori di minaccia nordcoreani stanno sfruttando attivamente una grave vulnerabilit√† di sicurezza in JetBrains TeamCity per violare opportunisticamente server vulnerabili. Gli attacchi, che coinvolgono lo sfruttamento di CVE-2023-42793 (CVSS score: 9.8), sono stati attribuiti a Diamond Sleet (aka Labyrinth Chollima) e Onyx Sleet (aka Andariel o Silent Chollima). Entrambi i cluster di attivit√† minacciose fanno parte del noto gruppo statale nordcoreano Lazarus Group.

Metodi di attacco utilizzati

In uno dei due percorsi di attacco utilizzati da Diamond Sleet, viene effettuata una compromissione di successo dei server di TeamCity seguita dall'implementazione di un impianto noto come ForestTiger da un'infrastruttura legittima precedentemente compromessa dall'attore minaccioso. Una seconda variante degli attacchi sfrutta la base iniziale per recuperare una DLL dannosa (DSROLE.dll aka RollSling o Version.dll o FeedLoad) che viene caricata tramite una tecnica chiamata hijacking dell'ordine di ricerca della DLL per eseguire un payload di fase successiva o un trojan di accesso remoto (RAT). Microsoft ha dichiarato di aver osservato che l'avversario utilizza una combinazione di strumenti e tecniche da entrambe le sequenze di attacco in alcuni casi.

Attacchi di Onyx Sleet e azioni successive

Gli intrusi montati da Onyx Sleet, invece, utilizzano l'accesso ottenuto sfruttando il bug di JetBrains TeamCity per creare un nuovo account utente chiamato krtbgt, presumibilmente con l'intento di impersonare il Kerberos Ticket Granting Ticket. "Dopo aver creato l'account, l'attore minaccioso lo aggiunge al gruppo Amministratori locali tramite net use" ha affermato Microsoft. "L'attore minaccioso esegue inoltre diversi comandi di scoperta di sistema sui sistemi compromessi". Gli attacchi portano successivamente all'implementazione di uno strumento proxy personalizzato chiamato HazyLoad che aiuta a stabilire una connessione persistente tra l'host compromesso e un'infrastruttura controllata dall'attaccante. Un'altra azione significativa successiva alla compromissione consiste nell'utilizzo dell'account krtbgt controllato dall'attaccante per accedere al dispositivo compromesso tramite il protocollo desktop remoto (RDP) e interrompere il servizio di TeamCity nel tentativo di prevenire l'accesso da parte di altri attori minacciosi.

Seguici su Twitter per altre pillole come questa

19/10/2023 08:50

Editorial AI

Ultime pillole

Risposta di LockBit alle azioni dell'FBILa rivincita tecnologica di LockBit: aggiornamenti e consapevolezze post-attacco

La tenace attività di LockBit malgrado le indagini globaliSfide e contromisure nella guerra al grupo cyber criminale LockBit

Avast sanzionata per vendita illegittima di dati webMulte e restrizioni imposte alla società di sicurezza informatica per uso scorretto di dati personali

KeyTrap: falla DNSSEC individuata da ricercatoriLa vulnerabilità mette a rischio la stabilità del DNSSEC