俄罗斯APT29因与TeamCity相关的漏洞而攻击美国生物医学巨头

据FortiGuard实验室的网络安全研究人员称,与俄罗斯情报相关的APT29组织利用了TeamCity的一个关键漏洞,该漏洞最初于2023年9月修复。波兰当局和FortiGuard实验室已向客户发出有关与TeamCity相关的新一波网络攻击的警告。

波兰军事反情报局(SKW)发布了一份通报,显示俄罗斯对外情报局(SVR)附属威胁行为者正在利用JetBrains CVE进行全球定位。

在这里,值得注意的是,TeamCity和JetBrains紧密相连,TeamCity是由JetBrains开发和维护的持续集成(CI)服务器。

据报道,该漏洞已于2023年9月修复,CVSS评分为9.8。不过,当局特别指出臭名昭著的高级持续威胁组织APT29(又名 Dukes、CozyBear和NOBELIUM/Midnight Blizzard)正在利用CVE-2023-42793。

威胁参与者使用计划任务来执行GraphicalProton有效负载,并使用rundll32代理执行作为防御规避方法。他们还使用容易受到搜索顺序劫持的合法第三方二进制文件。

“如果受到威胁,对TeamCity服务器的访问将使恶意行为者能够访问该软件开发人员的源代码、签署证书以及破坏软件编译和部署过程的能力 - 恶意行为者可以进一步利用访问权限来实施供应链运营”咨询阅读。

SKW的研究结果得到了FortiGuard Labs研究团队的支持。FortiGuard在其最新的博客文章中报告称,APT29已针对一家位于美国的生物医学制造组织(名称)尚未与媒体或公众分享并泄露了威胁行为者的TTP。该报告讨论了APT29在Windows服务器TeamCity中发现的此漏洞的入侵情况。

研究人员指出,2023年9月6日,Sonar的网络安全专家发现了一个严重的TeamCity On-Premises漏洞(追踪为CVE-2023-42793)。由于该漏洞无需身份验证即可部署,因此CVSS评分为9.8。CISA于2023年10月4日将其添加到“已知被利用的漏洞目录”中。

FortiGuard事件响应团队报告称,2023年10月,一家美国生物医学制造组织因APT29利用的此漏洞而受到损害。该攻击最初是使用定制的Python脚本来利用的,与APT29使用的GraphicalProton恶意软件相匹配。

对应用程序和系统日志的分析揭示了成功利用漏洞的证据,但一些威胁参与者未能成功在受害者Windows上运行Linux系统 命令服务器。APT29可能使用Nuclei来识别潜在受害者,并开始执行额外的发现命令来收集系统和权限信息。

这家位于美国的高等教育组织成为APT29的攻击目标,其C2 IP地址由FortiGuard IR团队发现。他们发现该组织的基础设施遭到破坏,并确定了对其易受攻击的TeamCity服务器的利用。

威胁参与者利用TeamCity漏洞安装SSH证书,并用该证书来维护对另一个受害者环境的访问。攻击者在TeamCity主机上下载了一个DLL文件“AclNumsInvertHost.dll”,并利用TeamCity RCE漏洞创建了一个引用该DLL文件以实现持久性的Windows计划任务。

尽管安装了补丁,攻击者仍然利用其GraphicalProton植入程序在受感染的主机上持续存在。FortiGuard认为这次攻击是新的APT29活动的一部分。重要的OPSEC考虑因素包括基础设施受损、添加合法 DLL 的搜索顺序劫持、伪装质量以及一次性基础设施组件。

研究人员建议采取遏制和根除行动,包括阻止IP地址、删除TeamCity软件帐户、删除Windows帐户、删除后门以及删除威胁行为者投放的恶意文件,以抵御GraphicalProton等威胁。

发表评论

评论已关闭。

相关文章