CVE-2023-42793漏洞被两个朝鲜黑客组织利用,向国防、媒体、IT服务组织等机构发起攻击

阅读量111517

发布时间 : 2023-10-23 11:20:18

x
译文声明

本文是翻译文章

原文地址:https://www.infosecurity-magazine.com/news/north-korean-exploiting-critical/

译文仅供参考,具体内容表达以及含义原文为准。

微软警告称,朝鲜威胁行为者正在积极利用软件开发中使用的持续集成/持续部署(CI/CD)应用程序中的一个关键漏洞。

这家科技巨头表示,自 2023 年 10 月初以来,它观察到两个朝鲜民族国家行为者——Diamond Sleet 和 Onyx Sleet——利用远程代码执行漏洞 CVE-2023-42793。

该漏洞的 CVSS 严重等级为 9.8,影响组织用于 DevOps 和其他软件活动的多个版本的 JetBrains TeamCity 服务器。

微软指出,Diamond Sleet 和 Onyx Sleet 此前曾通过渗透构建环境成功实施软件供应链攻击。因此,它评估此活动对受影响的组织构成“极高的风险”。

根据迄今为止受这些入侵影响的组织的概况,研究人员认为攻击者可能会趁机破坏易受攻击的服务器。“然而,两个攻击者都部署了恶意软件和工具,并利用了可能能够持续访问受害者环境的技术,”报告中写道。

团体如何针对组织

微软强调了两个朝鲜威胁行为者的不同焦点和方法。Diamond Sleet 主要针对世界各地的媒体、IT 服务和国防相关实体,其目的是从事间谍活动、数据盗窃、经济利益和网络破坏。

一旦攻击了 TeamCity 服务器,该组织就会部署“ForestTiger”恶意软件,在受攻击的服务器上执行命令。Diamond Sleet 使用的另一种攻击路径是利用受感染服务器上的 PowerShell 从攻击者基础设施下载恶意 DLL,以执行 DLL 搜索顺序劫持。

Onyx Sleet 的主要目标是韩国、美国和印度的国防和 IT 服务组织。它开发了一套工具,使其能够建立对受害者环境的持久访问并且保持不被发现。

成功利用 TeamCity 漏洞后,该组织部署了一个名为 HazyLoad 的代理工具,以在受感染的主机和攻击者控制的基础设施之间建立持久连接。

如何防御这些威胁

Microsoft 为使用 TeamCity 的组织制定了一系列行动来预防和应对这些攻击,包括:

  • 应用包含修复程序的 TeamCity 2023.05.4 更新。还创建了适用于旧版 TeamCity 版本 (8.0+) 的插件。
  • 使用防病毒工具快速识别并阻止新的和未知的威胁
  • 分析 Microsoft 的危害迹象 (IOC) 列表,以帮助调查攻击者是否危害了您的环境。
  • 阻止来自 IOC 列表中指定的 IP 的入站流量。
  • 如果发现设备上启动了恶意代码,请立即隔离系统并重置凭据和令牌。
  • 使用受感染的帐户之一调查设备时间线以查找横向移动活动的迹象。
本文翻译自 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66