Microsoft, JetBrains TeamCity Kusurundan Yararlanan Kuzey Kore Saldırıları Konusunda Uyardı
Microsoft'a göre, Kuzey Koreli tehdit aktörleri, savunmasız sunucuları fırsatçı bir şekilde ihlal etmek için JetBrains TeamCity'deki kritik bir güvenlik açığından aktif olarak yararlanıyor.
Microsoft'a göre, Kuzey Koreli tehdit aktörleri, savunmasız sunucuları fırsatçı bir şekilde ihlal etmek için JetBrains TeamCity'deki kritik bir güvenlik açığından aktif olarak yararlanıyor.
CVE-2023-42793'ün (CVSS puanı: 9.8) istismarını gerektiren saldırılar, Diamond Sleet (diğer adıyla Labyrinth Chollima) ve Onyx Sleet'e (diğer adıyla Andariel veya Silent Chollima) atfedildi.
Her iki tehdit faaliyeti kümesinin de Lazarus Group olarak bilinen kötü şöhretli Kuzey Kore ulus devlet aktörünün bir parçası olduğunu belirtmekte fayda var.
Diamond Sleet tarafından kullanılan iki saldırı yolundan birinde, TeamCity sunucularının başarılı bir şekilde ele geçirilmesini, daha önce tehdit aktörü tarafından ele geçirilen meşru altyapıdan ForestTiger adlı bilinen bir implantın konuşlandırılması takip eder.
Saldırıların ikinci bir varyantı.dll bir sonraki aşama yükünü veya uzaktan erişim truva atını (RAT) yürütmek için DLL arama emri ele geçirme olarak adlandırılan bir teknikle yüklenen kötü amaçlı bir DLL'yi (DSROLE.dll diğer adıyla RollSling veya Version veya FeedLoad) almak için ilk dayanaktan yararlanır.
Microsoft, düşmanın belirli durumlarda her iki saldırı dizisinden de araç ve tekniklerin bir kombinasyonundan yararlandığına tanık olduğunu söyledi.
Öte yandan, Onyx Sleet tarafından gerçekleştirilen izinsiz girişler, muhtemelen Kerberos Bilet Verme Biletini taklit etmeyi amaçlayan krtbgt adlı yeni bir kullanıcı hesabı oluşturmak için JetBrains TeamCity hatasının istismar edilmesinin sağladığı erişimi kullanır.
Microsoft, "Hesabı oluşturduktan sonra, tehdit aktörü onu net kullanım yoluyla Yerel Yöneticiler Grubuna ekler" dedi. "Tehdit aktörü ayrıca güvenliği ihlal edilmiş sistemlerde birkaç sistem keşif komutu çalıştırıyor."
Saldırılar daha sonra, güvenliği ihlal edilmiş ana bilgisayar ile saldırgan tarafından kontrol edilen altyapı arasında kalıcı bir bağlantı kurulmasına yardımcı olan HazyLoad adlı özel bir proxy aracının konuşlandırılmasına yol açar.
Ele geçirme sonrası bir diğer önemli eylem, uzak masaüstü protokolü (RDP) aracılığıyla güvenliği ihlal edilmiş cihazda oturum açmak için saldırgan tarafından kontrol edilen krtbgt hesabının kullanılması ve diğer tehdit aktörlerinin erişimini engellemek amacıyla TeamCity hizmetinin sonlandırılmasıdır.
Yıllar geçtikçe, Lazarus grubu kendisini şu anda aktif olan en tehlikeli ve sofistike gelişmiş kalıcı tehdit (APT) gruplarından biri olarak kabul ettirdi ve kripto para soygunları ve tedarik zinciri saldırıları yoluyla mali suç ve casusluk saldırılarını eşit ölçüde düzenledi.
ABD Ulusal Güvenlik Danışman Yardımcısı, "Kuzey Kore'nin Singapur, Vietnam ve Hong Kong da dahil olmak üzere dünyanın dört bir yanındaki altyapı çevresinde kripto para birimini hacklemesinin, füze programının ilerlemesini finanse etmek için kullanılan rejim için önemli bir gelir kaynağı olduğuna ve geçen yıl gördüğümüz çok daha fazla sayıda fırlatma olduğuna kesinlikle inanıyoruz" dedi. Anne Neuberger, dedi.
Gelişme, AhnLab Güvenlik Acil Durum Müdahale Merkezi'nin (ASEC), Lazarus Group'un virüslü sistemleri kontrol etmek için arka kapılar sunmak için bir kanal görevi gören Volgmer ve Scout gibi kötü amaçlı yazılım ailelerini kullanımını detaylandırmasıyla geldi.
Güney Koreli siber güvenlik firması, "Lazarus grubu, hedef odaklı kimlik avı ve tedarik zinciri saldırıları gibi çeşitli saldırı vektörlerini kullanarak dünya çapında oldukça aktif olan çok tehlikeli gruplardan biridir" dedi ve bilgisayar korsanlığı ekibini Dream Magic Operasyonu kod adlı başka bir kampanyaya dahil etti.
Bu, daha önce Lazarus Group ile ilişkilendirilen bir taktik olan enfeksiyonları etkinleştirmek için INISAFE ve MagicLine ürünlerindeki güvenlik kusurlarını silahlandıran, belirtilmemiş bir haber sitesindeki belirli bir makaleye hileli bir bağlantı ekleyerek sulama deliği saldırılarının kurulmasını içerir.
ASEC, Kuzey Kore'nin gelişen saldırı programlarının bir başka işareti olarak, Kimsuky (diğer adıyla APT43) olarak bilinen başka bir tehdit aktörünü, BabyShark kötü amaçlı yazılımını kullanarak kurban sistemlerine komuta etmek ve bilgi sızdırmak için rengarenk bir uzak masaüstü araçları ve VNC yazılımı (yani TightVNC ve TinyNuke) yüklemek için yeni bir dizi hedef odaklı kimlik avı saldırısına bağladı.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı