微软警告称,朝鲜威胁行为者正在积极利用软件开发中使用的持续集成/持续部署(CI/CD)应用程序中的一个关键漏洞。
这家科技巨头表示,自 2023 年 10 月初以来,它观察到两个朝鲜民族国家行为者——Diamond Sleet 和 Onyx Sleet——利用远程代码执行漏洞 CVE-2023-42793。
该漏洞的 CVSS 严重等级为 9.8,影响组织用于 DevOps 和其他软件活动的多个版本的 JetBrains TeamCity 服务器。
微软指出,Diamond Sleet 和 Onyx Sleet 此前曾通过渗透构建环境成功实施软件供应链攻击。因此,它评估此活动对受影响的组织构成“极高的风险”。
根据迄今为止受这些入侵影响的组织的概况,研究人员认为攻击者可能会趁机破坏易受攻击的服务器。“然而,两个攻击者都部署了恶意软件和工具,并利用了可能能够持续访问受害者环境的技术,”报告中写道。
团体如何针对组织
微软强调了两个朝鲜威胁行为者的不同焦点和方法。Diamond Sleet 主要针对世界各地的媒体、IT 服务和国防相关实体,其目的是从事间谍活动、数据盗窃、经济利益和网络破坏。
一旦攻击了 TeamCity 服务器,该组织就会部署“ForestTiger”恶意软件,在受攻击的服务器上执行命令。Diamond Sleet 使用的另一种攻击路径是利用受感染服务器上的 PowerShell 从攻击者基础设施下载恶意 DLL,以执行 DLL 搜索顺序劫持。
Onyx Sleet 的主要目标是韩国、美国和印度的国防和 IT 服务组织。它开发了一套工具,使其能够建立对受害者环境的持久访问并且保持不被发现。
成功利用 TeamCity 漏洞后,该组织部署了一个名为 HazyLoad 的代理工具,以在受感染的主机和攻击者控制的基础设施之间建立持久连接。
如何防御这些威胁
Microsoft 为使用 TeamCity 的组织制定了一系列行动来预防和应对这些攻击,包括:
- 应用包含修复程序的 TeamCity 2023.05.4 更新。还创建了适用于旧版 TeamCity 版本 (8.0+) 的插件。
- 使用防病毒工具快速识别并阻止新的和未知的威胁
- 分析 Microsoft 的危害迹象 (IOC) 列表,以帮助调查攻击者是否危害了您的环境。
- 阻止来自 IOC 列表中指定的 IP 的入站流量。
- 如果发现设备上启动了恶意代码,请立即隔离系统并重置凭据和令牌。
- 使用受感染的帐户之一调查设备时间线以查找横向移动活动的迹象。
发表评论
您还未登录,请先登录。
登录