大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
与朝鲜有关的威胁行为者正在积极利用 JetBrains TeamCity 中的一个关键漏洞 CVE-2023-42793。
Microsoft 警告称,与朝鲜有关的威胁行为者正在积极利用JetBrains TeamCity 中的一个关键安全漏洞,该漏洞被追踪为CVE-2023-42793 (CVSS 评分:9.8)。
CVE-2023-42793是一个 身份验证绕过 问题,影响 TeamCity 的本地版本。攻击者可以利用该缺陷窃取目标组织的源代码以及存储的服务机密和私钥。通过注入恶意代码,攻击者还可以破坏软件版本的完整性并影响所有下游用户。
10 月初,美国网络安全和基础设施安全局 (CISA) 将 JetBrains TeamCity 添加到其已知被利用的漏洞目录中。
微软将最近的攻击归咎于两个朝鲜 APT 组织 Diamond Sleet 和 Onyx Sleet,它们在Lazarus Group 的保护下运作。
Microsoft 详细介绍的攻击链之一与可危害 TeamCity 服务器的 Follow Diamond Sleet 相关。然后,攻击者使用 PowerShell 从他们之前入侵的合法基础设施中下载两个有效负载。威胁参与者部署了ForestTiger 后门,并使用它通过 LSASS 内存转储凭据。
在链接到 Diamond Sleet 的第二个集群中,威胁参与者部署了用于 DLL 搜索顺序劫持攻击的有效负载。
恶意负载被用于 DLL 搜索顺序劫持攻击,以执行下一阶段的恶意软件或远程访问木马 (RAT)。
Onyx Sleet APT 使用不同的攻击链,威胁行为者利用 JetBrains TeamCity 缺陷创建一个名为 krtbgt 的新用户帐户,该帐户可能旨在冒充 Kerberos 票证授予票证。
然后,威胁参与者通过 net use将该帐户添加到本地管理员组,并在受感染的系统上运行多个系统发现命令。
据观察,国家资助的黑客部署了一个名为 HazyLoad 的自定义代理工具。
在某些情况下,攻击者使用 krtbgt 帐户通过远程桌面协议 (RDP) 登录受感染的设备并终止 TeamCity 服务,以防止其他威胁参与者利用该问题。
威胁行为者还被发现部署工具来检索浏览器存储的凭据和其他数据。
以下是Microsoft 建议的缓解措施:
-
应用 JetBrains 发布的更新或缓解措施 来解决 CVE-2023-42793。
-
使用包含的妥协指标来调查它们是否存在于您的环境中并评估潜在的入侵。
-
阻止来自 IOC 表中指定的 IP 的入站流量。
-
使用 Microsoft Defender 防病毒软件 来防御此威胁。打开 云提供的保护 和自动样本提交。这些功能使用人工智能和机器学习来快速识别和阻止新的和未知的威胁。
-
立即采取行动解决受影响设备上的恶意活动。如果恶意代码已启动,则攻击者可能已完全控制设备。立即隔离系统并重置凭据和令牌。
-
使用受感染的帐户之一调查设备时间线以查找横向移动活动的迹象。检查攻击者可能投放的其他工具,以实现凭证访问、横向移动和其他攻击活动。
-
确保设置了“安全 DLL 搜索模式”。
-
打开以下 攻击面减少规则:
-
阻止可执行文件运行,除非它们符合流行度、年龄或可信列表标准
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜APT 积极利用JETBRAINS TEAMCITY 缺陷
