Χάκερς εκμεταλλεύτηκαν ευπάθειες στο ConnectWise ScreenConnect
11 Μαρτίου, 2024Midnight Blizzard: Έκλεψε δεδομένα της Microsoft;
13 Μαρτίου, 2024Μια πρόσφατη έρευνα φωτίζει τις δραστηριότητες των παραγόντων απειλών που σχετίζονται με το ransomware BianLian.
Αυτοί οι παράγοντες φαίνεται να εκμεταλλεύονται ευπάθειες στο λογισμικό JetBrains TeamCity για επιθέσεις που βασίζονται σε εκβιασμούς.
Σύμφωνα με την έκθεση, η εισβολή ξεκίνησε από την εκμετάλλευση ενός διακομιστή TeamCity, με αποτέλεσμα τη δημιουργία μιας παραλλαγής PowerShell του backdoor του BianLian’s Go.
Το BianLian, που εμφανίστηκε τον Ιούνιο του 2022, επικεντρώθηκε αποκλειστικά στην εκβιαστική πρακτική που βασίζεται στην αποκρυπτογράφηση αφού εκδόθηκε αποκρυπτογραφητής τον Ιανουάριο του 2023. Η μεθοδολογία της επίθεσης που περιγράφεται από εταιρεία κυβερνοασφάλειας περιλαμβάνει την εκμετάλλευση είτε του CVE-2024-27198 είτε του CVE-202923- TeamCity για αρχική πρόσβαση. Στη συνέχεια, οι χάκερς δημιουργούν νέους λογαριασμούς χρηστών και εκτελούν κακόβουλες ενέργειες.
Παρά την ασάφεια σχετικά με τη συγκεκριμένη ευπάθεια, οι χάκερς του BianLian συνήθως ενσωματώνουν ένα εξατομικευμένο backdoor σχεδιασμένο για κάθε θύμα, χρησιμοποιώντας το γλωσσικό μοντέλο Go, ταυτόχρονα με την ανάπτυξη εργαλείων απομακρυσμένης επιφάνειας εργασίας, όπως τα AnyDesk, Atera, SplashTop και TeamViewer. Αυτό το backdoor, που ορίζεται από τη Microsoft ως BianDoor, προσφέρει εκτεταμένο έλεγχο σε μολυσμένα συστήματα.
Οι αναλυτές ασφαλείας, Justin Timothy, Gabe Renfro και Keven Murphy, παρατήρησαν πως μετά τις δυσκολίες που αντιμετώπισαν με το συνηθισμένο backdoor τους στο Go, οι απειλές άλλαξαν τακτική. Αποφάσισαν να χρησιμοποιήσουν μια έκδοση PowerShell του backdoor τους, γνωστή ως “web.ps1”. Αυτή η αόριστη πίσω πόρτα δημιουργεί μια υποδοχή TCP για επιπλέον δικτυακή επικοινωνία με έναν server που ελέγχεται από τους εισβολείς, επιτρέποντας διάφορες αυθαίρετες ενέργειες στο μολυσμένο κεντρικό υπολογιστή.
Επιπλέον, αυτή η ευπάθεια εκμεταλλεύεται τους τελευταίους δύο μήνες για τη διάδοση ransomware C3RB3R, miners κρυπτονομισμάτων και trojans απομακρυσμένης πρόσβασης, υπονοώντας εκτεταμένη εκμετάλλευση στη φύση. Ο Jacob Baines από το VulnCheck επεσήμανε την ευελιξία στην εκμετάλλευση ευάλωτων σημείων όπως το CVE-2023-22527, αναφέροντας ότι ενώ κάποιοι επιλέγουν τη δημοφιλή μέθοδο που περιλαμβάνει το freemarker.template.utility.Execute.
Οι ερευνητές επιβεβαίωσαν ότι το backdoor μπορεί να επικοινωνήσει με τον διακομιστή εντολών και ελέγχου, επιτρέποντας την ασύγχρονη εκτέλεση με βάση τους στόχους του απομακρυσμένου εισβολέα. Αυτή η ανακάλυψη συμπίπτει με την πληροφορία του VulnCheck σχετικά με εκμεταλλεύσεις ευπαθειών που αποσκοπούν σε ένα κρίσιμο ελάττωμα (CVE-2023-22527) που επηρεάζει το Atlassian Confluence Data Center και το Confluence Server. Αυτό το ελάττωμα θα μπορούσε να έχει ως αποτέλεσμα την απομακρυσμένη εκτέλεση κώδικα χωρίς αρχεία, με το web shell του Godzilla να φορτώνεται απευθείας στη μνήμη.