Американські та британські кіберслужби попереджають, що пов’язане з Росією угруповання APT29 здійснює масштабну атаку на вразливі сервери Zimbra та JetBrains TeamCity.
Пов’язана з Росією група кібершпигунів APT29 (також відома як SVR group, BlueBravo, Cozy Bear, Nobelium, Midnight Blizzard і The Dukes) націлена на вразливі сервери Zimbra і JetBrains TeamCity в рамках широкомасштабної кампанії, попереджають кіберагентства США і Великобританії.
Федеральне бюро розслідувань (ФБР), Агентство національної безпеки (АНБ), Кібернетичні національні сили місії (CNMF) та Національний центр кібербезпеки Великої Британії (NCSC-UK) випустили спільну консультацію з кібербезпеки (CSA), щоб попередити про тактику, методи та процедури (ТТП), які використовує Служба зовнішньої розвідки (СЗР) Російської Федерації в останніх кіберопераціях.
З квітня 2021 року російські державні хакери використовували вразливості, зокрема CVE-2022-27924 від Zimbra для введення команд для доступу до облікових даних та електронної пошти та CVE-2023-42793 від JetBrains TeamCity для довільного виконання коду через обхід автентифікації. Зловмисники використовували експлойти для вищезазначених проблем під час атак на організації в різних секторах по всьому світу, що дозволило групі APT отримати доступ до конфіденційних даних та розгорнути інфраструктуру для постійного збору даних.
«Кіберзлочинці SVR масово використовували вразливості, щоб атакувати жертв по всьому світу в різних секторах», – йдеться у спільному звіті.
Спільна рекомендація містить перелік відомих вразливостей, які необхідно усунути якнайшвидше.
Державні органи попереджають, що російська група APT29 має можливість і намір використовувати більше вразливостей для початкового доступу, віддаленого виконання коду та підвищення привілеїв. Кіберагентства рекомендують організаціям застосовувати патчі для цих публічно оприлюднених вразливостей, що випускаються виробниками.
Пов’язане з Росією угруповання APT29 масштабно атакує сервери Zimbra та JetBrains TeamCity
