Rus SVR Bağlantılı APT29, Devam Eden Saldırılarda JetBrains TeamCity Sunucularını Hedef Alıyor
Rusya Dış İstihbarat Servisi'ne (SVR) bağlı tehdit aktörleri, Eylül 2023'ten bu yana yaygın saldırılarda yama uygulanmamış JetBrains TeamCity sunucularını hedef aldı.
Etkinlik, BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (eski adıyla Nobelium) ve The Dukes olarak da izlenen APT29 olarak bilinen bir ulus devlet grubuna bağlandı. 2020'de SolarWinds'i ve müşterilerini hedef alan tedarik zinciri saldırısıyla dikkat çekiyor.
Polonya, İngiltere ve ABD'den siber güvenlik ajansları, "Bununla birlikte, SVR'nin, ayrıcalıklarını yükseltmek, yanal olarak hareket etmek, ek arka kapılar dağıtmak ve güvenliği ihlal edilmiş ağ ortamlarına kalıcı ve uzun vadeli erişim sağlamak için başka adımlar atmak için TeamCity CVE'den yararlanarak toplanan ilk erişimi kullandığı gözlemlendi" dedi.
Söz konusu güvenlik açığı, kimliği doğrulanmamış saldırganlar tarafından etkilenen sistemlerde uzaktan kod yürütülmesi sağlamak için silah haline getirilebilecek kritik bir güvenlik açığı olan CVE-2023-42793'tür (CVSS puanı: 9.8). O zamandan beri, kötü amaçlı yazılım dağıtımı için Kuzey Kore ile ilişkili olanlar da dahil olmak üzere bilgisayar korsanlığı ekipleri tarafından aktif olarak istismar edildi.
Ajanslar, "TeamCity istismarı genellikle SVR'ye ağ ortamında avantajlı bir dayanak sağlayan yüksek ayrıcalıklarla kod yürütülmesiyle sonuçlandı" dedi.
"Güvenliği ihlal edilirse, bir TeamCity sunucusuna erişim, kötü niyetli aktörlere o yazılım geliştiricisinin kaynak koduna erişim, sertifikaları imzalama ve yazılım derleme ve dağıtım süreçlerini bozma yeteneği sağlar - kötü niyetli bir aktörün tedarik zinciri operasyonlarını yürütmek için daha fazla kullanabileceği erişim."
Başarılı bir ilk erişimi genellikle keşif, ayrıcalık yükseltme, yanal hareket ve veri hırsızlığı takip ederken, aynı anda EDRSandBlast adlı açık kaynaklı bir araç kullanarak algılamadan kaçınmak için adımlar atılır. Saldırıların nihai amacı, ek yükler sağlamak için bir yükleyici işlevi gören GraphicalProton kod adlı bir arka kapı konuşlandırmaktır.
VaporRage olarak da bilinen GraphicalProton, OneDrive'ı birincil komut ve kontrol (C2) iletişim kanalı olarak kullanır ve Dropbox bir geri dönüş mekanizması olarak kabul edilir. Tehdit aktörü tarafından, dünyanın dört bir yanındaki diplomatik kurumları seçen Diplomatic Orbiter adlı devam eden bir kampanyanın parçası olarak kullanıldı.
Microsoft, "Uzlaşma sonrası etkinlik, Mimikatz kullanarak kimlik bilgisi hırsızlığını, DSinternals kullanarak Active Directory numaralandırmasını, tünel açma aracı rsockstun'un dağıtımını ve antivirüs ve EDR özelliklerini kapatmayı içerir" dedi ve kusurdan yararlanarak TeamCity sunucularını hedef alan "yaygın bir kampanya" olarak tanımladığı şeyi bozmak için adımlar attığını da sözlerine ekledi.
ABD, Avrupa, Asya ve Avustralya'da bulunan 100 kadar cihazın, fırsatçı saldırılar olduğundan şüphelenilen saldırıların bir sonucu olarak ele geçirildiği söyleniyor.
Saldırı hedefleri arasında bir enerji ticaret birliği; faturalandırma, tıbbi cihazlar, müşteri hizmetleri, çalışan izleme, finansal yönetim, pazarlama, satış ve video oyunları için yazılım sağlayan firmalar; barındırma şirketleri, araç üreticileri ve küçük ve büyük BT işletmelerinin yanı sıra.
Açıklama, Microsoft'un Rusya'nın Haziran-Eylül 2023 arasında ağlara sızmak, veri sızdırmak ve SharpWipe (diğer adıyla WalnutWipe) gibi yıkıcı kötü amaçlı yazılımları dağıtmak için Ukrayna'nın tarım sektörüne yönelik çok yönlü saldırısını ortaya çıkarmasıyla geldi.
İzinsiz girişler, sırasıyla Aqua Blizzard (eski adıyla Actinium) ve Seashell Blizzard (eski adıyla Iridium) kod adlı iki ulus devlet grubuna bağlandı.
Seashell Blizzard'ın ayrıca, ilk erişim elde etmek için DarkCrystalRAT (diğer adıyla DCRat) arka kapısını barındıran korsan Microsoft Office yazılımından yararlandığı ve ardından bunu Microsoft Defender gibi görünen Shadowlink adlı ikinci aşama bir yükü indirmek için kullandığı gözlemlendi, ancak gerçekte, gizlice uzaktan erişim için bir TOR hizmeti yükler.
Teknoloji devi, "Midnight Blizzard, parola spreyi, üçüncü taraflardan elde edilen kimlik bilgileri, Teams aracılığıyla inandırıcı sosyal mühendislik kampanyaları ve bulut ortamlarına sızmak için bulut hizmetlerinin kötüye kullanılması kullanarak bir mutfak lavabosu yaklaşımı benimsedi" dedi.
Microsoft ayrıca, 2022 baharından bu yana Ukrayna'nın uluslararası destekçilerini hedef alan karmaşık Rusya yanlısı etki operasyonları yürüttüğü için Storm-1099 (diğer adıyla Doppelganger) olarak adlandırdığı Rusya'ya bağlı bir etki aktörünün altını çizdi.
Diğer etki çabaları arasında, ana akım medyayı taklit etmek ve Ukrayna karşıtı video içeriğini yaymak ve Başkan Volodymyr Zelensky'yi yanlış bir şekilde madde bağımlılığı sorunlarından muzdarip olduğunu iddia ederek kötülemek için Cameo'da paylaşılan ünlü videolarını aldatıcı bir şekilde düzenlemek yer alıyor ve savaşa ilişkin küresel algıları çarpıtmaya yönelik devam eden çabaların altını çiziyor.
Microsoft, "Bu kampanya, çevrimiçi bilgi alanındaki anlatıyı ilerletmek isteyen Rusya yanlısı aktörlerin yeni bir yaklaşımına işaret ediyor" dedi. "Rus siber ve etki operatörleri, Ukrayna'daki savaş boyunca uyum sağlama yeteneği gösterdi."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı