Субъекты угроз, связанные со Службой внешней разведки России (SVR), с сентября 2023 года подвергают массовым атакам незадействованные серверы JetBrains TeamCity.
Активность была связана с государственной группой, известной как APT29, которая также отслеживается как BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (ранее Nobelium) и The Dukes. Он примечателен атакой на цепочку поставок, нацеленной на SolarWinds и ее клиентов в 2020 году.
"Однако было замечено, что SVR использует первоначальный доступ, полученный в результате использования TeamCity CVE, для повышения своих привилегий, горизонтального перемещения, развертывания дополнительных бэкдоров и принятия других мер для обеспечения постоянного и долгосрочного доступа к скомпрометированным сетевым средам", - заявили агентства кибербезопасности Польши, Великобритании и США.
Рассматриваемая уязвимость является CVE-2023-42793 (оценка CVSS: 9,8), критическим недостатком безопасности, который может быть использован злоумышленниками, не прошедшими проверку подлинности, для удаленного выполнения кода в затронутых системах. С тех пор он активно используется хакерскими группами, в том числе теми, кто связан с Северной Кореей, для доставки вредоносного ПО.
"Эксплуатация TeamCity обычно приводила к выполнению кода с высокими привилегиями, что предоставляло SVR выгодную точку опоры в сетевой среде", - отметили агентства.
"В случае взлома доступ к серверу TeamCity предоставит злоумышленникам доступ к исходному коду разработчика программного обеспечения, сертификатам подписи и возможности нарушать процессы компиляции и развертывания программного обеспечения — доступ, который злоумышленник может в дальнейшем использовать для проведения операций по цепочке поставок".
За успешным первоначальным доступом обычно следует разведка, повышение привилегий, боковое перемещение и эксфильтрация данных, при одновременном принятии мер по уклонению от обнаружения с использованием инструмента с открытым исходным кодом под названием EDRSandBlast. Конечной целью атак является развертывание бэкдора под кодовым названием GraphicalProton, который функционирует как загрузчик для доставки дополнительных полезных нагрузок.
GraphicalProton, который также известен как VaporRage, использует OneDrive в качестве основного канала связи командования и контроля (C2), а Dropbox рассматривается как запасной механизм. Он был использован злоумышленником в рамках продолжающейся кампании под названием Diplomatic Orbiter, которая выявляет дипломатические учреждения по всему миру.
Сообщается, что около 100 устройств, расположенных в США, Европе, Азии и Австралии, были скомпрометированы в результате того, что предположительно является оппортунистическими атаками.
Целями кампании являются ассоциация торговли электроэнергией; фирмы, предоставляющие программное обеспечение для выставления счетов, медицинского оборудования, обслуживания клиентов, мониторинга сотрудников, финансового менеджмента, маркетинга, продаж и видеоигр; а также хостинговые компании, производители инструментов, малые и крупные ИТ-предприятия.
The disclosure comes as Microsoft revealed Russia's multi-pronged assault on Ukraine's agriculture sector between June through September 2023 to penetrate networks, exfiltrate data, and deploy destructive malware such as SharpWipe (aka WalnutWipe).
Вторжения были связаны с двумя национальными группами под кодовыми названиями Aqua Blizzard (ранее Actinium) и Seashell Blizzard (ранее Iridium) соответственно.
Также было замечено, что Seashell Blizzard использует пиратское программное обеспечение Microsoft Office, содержащее бэкдор DarkCrystalRAT (он же DCRat), чтобы получить первоначальный доступ, впоследствии используя его для загрузки полезной нагрузки второго этапа под названием Shadowlink, которая маскируется под Microsoft Defender, но на самом деле устанавливает службу TOR для тайного удаленного доступа.
"Midnight Blizzard применила подход "кухонной мойки", используя распространение паролей, учетные данные, полученные от третьих сторон, правдоподобные кампании социальной инженерии с помощью команд и злоупотребление облачными сервисами для проникновения в облачные среды", - сказал технический гигант.
Microsoft также выделила связанного с Россией влиятельного субъекта, которого она называет Storm-1099 (он же Двойник), за проведение сложных пророссийских операций влияния против международных сторонников Украины с весны 2022 года.
Другие попытки влияния включают подмену основных СМИ и обманное редактирование видеороликов знаменитостей, размещенных на Cameo, для распространения антиукраинского видеоконтента и очернения президента Владимира Зеленского, ложно заявляя, что он страдал от злоупотребления психоактивными веществами, что подчеркивает продолжающиеся усилия по искажению глобального восприятия войны.
"Эта кампания знаменует собой новый подход пророссийских субъектов, стремящихся продвинуть нарратив в информационном онлайн-пространстве", - заявили в Microsoft. "Российские киберпреступники и операторы влияния демонстрировали адаптивность на протяжении всей войны на Украине".
Активность была связана с государственной группой, известной как APT29, которая также отслеживается как BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (ранее Nobelium) и The Dukes. Он примечателен атакой на цепочку поставок, нацеленной на SolarWinds и ее клиентов в 2020 году.
"Однако было замечено, что SVR использует первоначальный доступ, полученный в результате использования TeamCity CVE, для повышения своих привилегий, горизонтального перемещения, развертывания дополнительных бэкдоров и принятия других мер для обеспечения постоянного и долгосрочного доступа к скомпрометированным сетевым средам", - заявили агентства кибербезопасности Польши, Великобритании и США.
Рассматриваемая уязвимость является CVE-2023-42793 (оценка CVSS: 9,8), критическим недостатком безопасности, который может быть использован злоумышленниками, не прошедшими проверку подлинности, для удаленного выполнения кода в затронутых системах. С тех пор он активно используется хакерскими группами, в том числе теми, кто связан с Северной Кореей, для доставки вредоносного ПО.
"Эксплуатация TeamCity обычно приводила к выполнению кода с высокими привилегиями, что предоставляло SVR выгодную точку опоры в сетевой среде", - отметили агентства.
"В случае взлома доступ к серверу TeamCity предоставит злоумышленникам доступ к исходному коду разработчика программного обеспечения, сертификатам подписи и возможности нарушать процессы компиляции и развертывания программного обеспечения — доступ, который злоумышленник может в дальнейшем использовать для проведения операций по цепочке поставок".
За успешным первоначальным доступом обычно следует разведка, повышение привилегий, боковое перемещение и эксфильтрация данных, при одновременном принятии мер по уклонению от обнаружения с использованием инструмента с открытым исходным кодом под названием EDRSandBlast. Конечной целью атак является развертывание бэкдора под кодовым названием GraphicalProton, который функционирует как загрузчик для доставки дополнительных полезных нагрузок.
GraphicalProton, который также известен как VaporRage, использует OneDrive в качестве основного канала связи командования и контроля (C2), а Dropbox рассматривается как запасной механизм. Он был использован злоумышленником в рамках продолжающейся кампании под названием Diplomatic Orbiter, которая выявляет дипломатические учреждения по всему миру.
Сообщается, что около 100 устройств, расположенных в США, Европе, Азии и Австралии, были скомпрометированы в результате того, что предположительно является оппортунистическими атаками.
Целями кампании являются ассоциация торговли электроэнергией; фирмы, предоставляющие программное обеспечение для выставления счетов, медицинского оборудования, обслуживания клиентов, мониторинга сотрудников, финансового менеджмента, маркетинга, продаж и видеоигр; а также хостинговые компании, производители инструментов, малые и крупные ИТ-предприятия.
The disclosure comes as Microsoft revealed Russia's multi-pronged assault on Ukraine's agriculture sector between June through September 2023 to penetrate networks, exfiltrate data, and deploy destructive malware such as SharpWipe (aka WalnutWipe).
Вторжения были связаны с двумя национальными группами под кодовыми названиями Aqua Blizzard (ранее Actinium) и Seashell Blizzard (ранее Iridium) соответственно.
Также было замечено, что Seashell Blizzard использует пиратское программное обеспечение Microsoft Office, содержащее бэкдор DarkCrystalRAT (он же DCRat), чтобы получить первоначальный доступ, впоследствии используя его для загрузки полезной нагрузки второго этапа под названием Shadowlink, которая маскируется под Microsoft Defender, но на самом деле устанавливает службу TOR для тайного удаленного доступа.
"Midnight Blizzard применила подход "кухонной мойки", используя распространение паролей, учетные данные, полученные от третьих сторон, правдоподобные кампании социальной инженерии с помощью команд и злоупотребление облачными сервисами для проникновения в облачные среды", - сказал технический гигант.
Microsoft также выделила связанного с Россией влиятельного субъекта, которого она называет Storm-1099 (он же Двойник), за проведение сложных пророссийских операций влияния против международных сторонников Украины с весны 2022 года.
Другие попытки влияния включают подмену основных СМИ и обманное редактирование видеороликов знаменитостей, размещенных на Cameo, для распространения антиукраинского видеоконтента и очернения президента Владимира Зеленского, ложно заявляя, что он страдал от злоупотребления психоактивными веществами, что подчеркивает продолжающиеся усилия по искажению глобального восприятия войны.
"Эта кампания знаменует собой новый подход пророссийских субъектов, стремящихся продвинуть нарратив в информационном онлайн-пространстве", - заявили в Microsoft. "Российские киберпреступники и операторы влияния демонстрировали адаптивность на протяжении всей войны на Украине".
