Польська влада та FortiGuard Labs попередили клієнтів про нову хвилю кібератак, пов’язаних з TeamCity.
За словами дослідників кібербезпеки з FortiGuard Labs, пов’язана з російською розвідкою група APT29 використовувала критичну вразливість TeamCity, яку спочатку було виправлено у вересні 2023 року.
Служба військової контррозвідки Польщі (SKW) оприлюднила попередження, в якому виявилося, що афілійовані з Службою зовнішньої розвідки Росії (SVR) суб’єкти загрози використовують JetBrains CVE для глобального націлювання.
Тут варто зазначити, що TeamCity та JetBrains тісно пов’язані, причому TeamCity є сервером безперервної інтеграції (CI), розробленим та підтримуваним JetBrains.
Як повідомляє Hackread.com, у вересні 2023 року вразливість, яка отримала 9,8 балів за допомогою CVSS, була виправлена. Однак влада особливо визначила горезвісну передову постійну групу загроз під назвою APT29, також відомою як Dukes, CozyBear і NOBELIUM/Midnight Blizzard. використання CVE-2023-42793.
Зловмисник використовував заплановані завдання для виконання корисних навантажень GraphicalProton, використовуючи виконання проксі rundll32 як метод ухилення від захисту. Вони також використовували законні двійкові файли третіх сторін, вразливі до викрадення порядку пошуку.
«У разі зламу доступ до сервера TeamCity надасть зловмисникам доступ до вихідного коду цього розробника програмного забезпечення, сертифікатів підпису та можливість зірвати процеси компіляції та розгортання програмного забезпечення — доступ зловмисник може надалі використовувати для здійснення операцій у ланцюзі поставок» консультаційне читання.
Висновки SKW підтверджені групою дослідників FortiGuard Labs. У своєму останньому дописі в блозі FortiGuard повідомляє, що APT29 націлився на американську виробничу біомедичну організацію (назву якої не повідомляють ЗМІ чи громадськість) і розкрив TTP загрози. У звіті обговорюється вторгнення цієї вразливості, знайденої в TeamCity, сервері Windows, APT29.
Дослідники відзначили, що 6 вересня 2023 року експерти з кібербезпеки Sonar виявили критичну вразливість TeamCity On-Premises (відстежується як CVE-2023-42793). Цій уразливості було присвоєно оцінку CVSS 9,8 через її здатність розгортатися без автентифікації. 4 жовтня 2023 року CISA додала його до свого «Каталогу відомих вразливостей».
Команда реагування на інциденти FortiGuard повідомляє, що в жовтні 2023 року американська біомедична виробнича організація була скомпрометована через цю вразливість, яку використовував APT29. Атака спочатку була використана за допомогою спеціально створеного сценарію Python, що відповідає шкідливому програмному забезпеченню GraphicalProton, яке використовується APT29.
Аналіз програмних і системних журналів виявив докази успішної експлуатації, але деяким суб’єктам загрози не вдалося запустити системні команди Linux на жертві Windows Server. APT29, ймовірно, використовував Nuclei для ідентифікації потенційних жертв і почав виконувати додаткові команди виявлення для збору інформації про систему та привілеї.
Американська організація вищої освіти стала мішенню APT29 з IP-адресою C2, яку виявила команда FortiGuard IR. Вони виявили, що інфраструктуру організації було зламано, і виявили використання їх уразливого сервера TeamCity.
Зловмисник використовував експлойт TeamCity для встановлення сертифіката SSH, який використовувався для підтримки доступу до середовища іншої жертви. Актор завантажив файл DLL «AclNumsInvertHost.dll» на хост TeamCity і використав уразливість TeamCity RCE, щоб створити заплановане Windows завдання, посилаючись на файл DLL для збереження.
Російський APT29 зламав американський біомедичний гігант через взлом, пов’язаний з TeamCity
Незважаючи на патч, зловмисник продовжував працювати на скомпрометованому хості, використовуючи свій імплант GraphicalProton. FortiGuard вважає, що ця атака була частиною нової кампанії APT29. Важливі міркування OPSEC включали скомпрометовану інфраструктуру, викрадення порядку пошуку з додаванням законних DLL, якість маскування та одноразові компоненти інфраструктури.
Дослідники рекомендують дії зі стримування та викорінення, зокрема блокування IP-адрес, видалення облікових записів програмного забезпечення TeamCity, видалення облікових записів Windows, видалення бекдорів і видалення шкідливих файлів, видалених суб’єктами загрози, щоб залишатися захищеним від таких загроз, як GraphicalProton.
Російський APT29 зламав американський біомедичний гігант через взлом, пов’язаний з TeamCity
