AI DevwWrld Chatbot Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Middle East Low Code No Code Summit TimeAI Summit

Attacchi nordcoreani sfruttano falla in JetBrains TeamCity

I dettagli degli attacchi del gruppo Lazarus Group sulle vulnerabilità di JetBrains TeamCity

Microsoft ha segnalato attacchi nordcoreani su JetBrains TeamCity, sfruttando una grave falla di sicurezza. Gli attacchi mirano a compromettere i server e utilizzano diverse tecniche, inclusi trojan e proxy personalizzati. Microsoft ha attribuito gli attacchi a gruppi noti legati al governo della Corea del Nord.

Contribute to spreading the culture of prevention!
Support our cause with a small donation by helping us raise awareness among users and companies about cyber threats and defense solutions.

This pill is also available in Italian language

Secondo quanto riportato da Microsoft, attori di minaccia nordcoreani stanno sfruttando attivamente una grave vulnerabilità di sicurezza in JetBrains TeamCity per violare opportunisticamente server vulnerabili. Gli attacchi, che coinvolgono lo sfruttamento di CVE-2023-42793 (CVSS score: 9.8), sono stati attribuiti a Diamond Sleet (aka Labyrinth Chollima) e Onyx Sleet (aka Andariel o Silent Chollima). Entrambi i cluster di attività minacciose fanno parte del noto gruppo statale nordcoreano Lazarus Group.

Metodi di attacco utilizzati

In uno dei due percorsi di attacco utilizzati da Diamond Sleet, viene effettuata una compromissione di successo dei server di TeamCity seguita dall'implementazione di un impianto noto come ForestTiger da un'infrastruttura legittima precedentemente compromessa dall'attore minaccioso. Una seconda variante degli attacchi sfrutta la base iniziale per recuperare una DLL dannosa (DSROLE.dll aka RollSling o Version.dll o FeedLoad) che viene caricata tramite una tecnica chiamata hijacking dell'ordine di ricerca della DLL per eseguire un payload di fase successiva o un trojan di accesso remoto (RAT). Microsoft ha dichiarato di aver osservato che l'avversario utilizza una combinazione di strumenti e tecniche da entrambe le sequenze di attacco in alcuni casi.

Attacchi di Onyx Sleet e azioni successive

Gli intrusi montati da Onyx Sleet, invece, utilizzano l'accesso ottenuto sfruttando il bug di JetBrains TeamCity per creare un nuovo account utente chiamato krtbgt, presumibilmente con l'intento di impersonare il Kerberos Ticket Granting Ticket. "Dopo aver creato l'account, l'attore minaccioso lo aggiunge al gruppo Amministratori locali tramite net use" ha affermato Microsoft. "L'attore minaccioso esegue inoltre diversi comandi di scoperta di sistema sui sistemi compromessi". Gli attacchi portano successivamente all'implementazione di uno strumento proxy personalizzato chiamato HazyLoad che aiuta a stabilire una connessione persistente tra l'host compromesso e un'infrastruttura controllata dall'attaccante. Un'altra azione significativa successiva alla compromissione consiste nell'utilizzo dell'account krtbgt controllato dall'attaccante per accedere al dispositivo compromesso tramite il protocollo desktop remoto (RDP) e interrompere il servizio di TeamCity nel tentativo di prevenire l'accesso da parte di altri attori minacciosi.

Follow us on Telegram for more pills like this

10/19/2023 08:50

Editorial AI

Last pills

Global blow to cybercrime: a major ransomware network has fallenCybercriminal organization busted: a success for global cybersecurity

Crisis in aviation: Rosaviatsia targeted by cyberattackCyber attack exposes vulnerability of Russian aviation sector

Introduction to the new SysJoker threatIn-depth analysis reveals evolutions and risks of SysJoker cross-platform malware

Cybersecurity strategies compared between Taiwan and JapanStrengthening digital defenses in the information age