微软称朝鲜黑客正在利用 JetBrains TeamCity 漏洞
2023-10-19 17:38:33 Author: mp.weixin.qq.com(查看原文) 阅读量:12 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

微软指出,朝鲜黑客组织被指正在利用位于 JetBrains TeamCity 中的一个严重漏洞,攻陷易受攻击的服务器。

这些攻击利用的是CVE-2023-42793(CVSS评分9.8),被归咎于Diamond Sleet 以及 Onyx Sleet阻止。值得注意的是,这两个黑客团伙都是臭名昭著的朝鲜黑客组织 Lazarus 组织的组成部分。

Diamond Sleet 应用的两种攻击路径之一是,首先将源自此前遭攻陷的合法基础设施的植入 ForestTiger,之后攻陷 TeamCity 服务器。攻击的另外一种变体是利用初始权限检索通过DLL 搜索顺序劫持技术加载的恶意DLL,执行下一阶段的 payload 或远程访问木马 (RAT)。微软指出,在一些实例中,发现攻击者组合利用源自这两种攻击序列的工具和技术。

而Onyx Sleet 发动的攻击活动则是通过利用 JetBrians TeamCity 漏洞获得的访问权限,创建性的用户账户 “krtbgt”,旨在模拟 Kerberos Ticket Granting Ticket。微软提到,“创建账户后,威胁行动者通过 net use 命令将其添加到 Local Administrators Group。威胁行动者还在受陷系统上运行多个系统发现命令。”这些攻击最终导致名为 “HazyLoad” 的自定义代理工具的部署,从而建立受陷主机和受攻击者控制的基础设施之间的持久连接。

另外值得一提的攻陷后操作时使用受攻击者控制的 krtbgt 账户,通过RDP 登录受陷设备,并终止 TeamCity 服务器,以阻止遭其它威胁行动者的访问。

多年来,Lazarus 组织被视作目前活跃的危害最大的和最复杂的APT组织,通过盗取密币和供应链攻击的方式从事金融犯罪和间谍攻击活动。

助理美国国家安全顾问 Anne Neuberger 曾表示,“我们坚信朝鲜攻击全球与基础设施相关的密币是朝鲜推动导弹计划以及我们在去年看到的更多发射活动的主要资金来源。”

前不久,AhnLab 安全应急响应中心 (ASEC) 详述称 Lazarus 组织利用恶意软件家族如 Volgmer 和 Scout 等传播用于控制受影响系统的后门。

韩国网络安全公司在谈到另外一起攻击活动 Operation Dream Magic 时提到,“Lazarus 组织是当前全球高度活跃的最危险的组织之一,它使用多种攻击向量如鱼叉式钓鱼攻击和供应链攻击。” 在该攻击中,该黑客组织被指在某新闻网站的某篇文章中插入恶意链接,利用 INISAFE 和 MagicLine 产品中的漏洞激活感染。

ASEC 还指出另外一个威胁行动组织 Kimsuky(即 APT43)发动鱼叉式钓鱼攻击,利用 BabyShark 恶意软件安装各种远程桌面工具和VNC软件来控制受害者系统并从中提取信息。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

朝鲜国家APT组织再被指攻击安全研究员

朝鲜黑客被指发动大规模 npm 恶意包攻击

谷歌:早在这个0day 补丁发布前几周,朝鲜国家黑客就已利用

朝鲜黑客伪装成三星招聘人员诱骗安全研究员,或发动供应链攻击

朝鲜国家黑客被指利用定制恶意软件攻击各国政府官员

原文链接

https://thehackernews.com/2023/10/microsoft-warns-of-north-korean-attacks.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247517932&idx=2&sn=7e2a1ef7968f3acfe8c4695c762d73d7&chksm=ea94b786dde33e903fff8f061378af27c2fea181b3072ef1138e0862f0646c1698a6382deea5&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh