ΑρχικήSecurityΟι Lazarus και Andariel hackers εκμεταλλεύονται TeamCity bug για παραβιάσεις δικτύων

Οι Lazarus και Andariel hackers εκμεταλλεύονται TeamCity bug για παραβιάσεις δικτύων

Η Microsoft λέει ότι οι Βορειοκορεάτες hackers Lazarus και Andariel εκμεταλλεύονται την ευπάθεια CVE-2023-42793 σε TeamCity servers για την εγκατάσταση backdoor, με στόχο τη διεξαγωγή software supply chain επιθέσεων.

Το TeamCity είναι ένας integration και deployment server που χρησιμοποιούν οι οργανισμοί ως μέρος της υποδομής ανάπτυξης λογισμικού.

Andariel hackers Lazarus

Τον Σεπτέμβριο, διόρθωσε μια κρίσιμη ευπάθεια (CVE-2023-42793) που επέτρεπε σε μη επιβεβαιωμένους χρήστες να εκτελούν κώδικα εξ αποστάσεως.

Ενώ η ευπάθεια TeamCity διορθώθηκε γρήγορα, οι κακόβουλοι hackers, όπως οι συμμορίες ransomware, άρχισαν να την εκμεταλλεύονται για να παραβιάσουν εταιρικά δίκτυα.

Δείτε επίσης: Οι Lazarus hackers χρησιμοποιούν το νέο LightlessCan malware

Οι Βορειοκορεάτες hackers Lazarus και Andariel εκμεταλλεύονται το TeamCity bug

Σύμφωνα με μια νέα έκθεση της Microsoft, οι hacking ομάδες Lazarus και Andariel έχουν παρατηρηθεί να χρησιμοποιούν το CVE-2023-42793 για να παραβιάσουν TeamCity servers.

Δεν έχει αναφερθεί με βεβαιότητα ο τελικός στόχος αυτών των επιθέσεων, αλλά πιστεύεται ότι θα μπορούσε να είναι η διεξαγωγή software supply chain επιθέσεων.

Σύμφωνα με τη Microsoft, σε προηγούμενες επιχειρήσεις, οι Lazarus και άλλοι βορειοκορεάτες hackers έχουν πραγματοποιήσει τέτοιες επιθέσεις διεισδύοντας σε build environments.

Μόλις οι hackers παραβιάσουν έναν TeamCity server, χρησιμοποιούν διαφορετικές αλυσίδες επίθεσης για να αναπτύξουν backdoors και να αποκτήσουν persistence στο παραβιασμένο δίκτυο.

Οι Lazarus hackers, για παράδειγμα, χρησιμοποίησαν το κακόβουλο λογισμικό ForestTiger, το οποίο χρησιμοποιείται ως backdoor για την εκτέλεση εντολών στον διακομιστή που έχει παραβιαστεί.

Δείτε επίσης: CoinEx: Βρίσκονται οι Lazarus hackers πίσω από το hack;

Μια δεύτερη αλυσίδα επιθέσεων χρησιμοποιεί DLL search order hijacking επιθέσεις, για να ξεκινήσει ένα malware loader που ονομάζεται FeedLoad και εγκαθιστά ένα Trojan απομακρυσμένης πρόσβασης (RAT).

Από την άλλη μεριά, οι Andariel hackers δημιουργούν έναν λογαριασμό διαχειριστή “krtbgt” στον παραβιασμένο server και εκτελούν εντολές για τη συλλογή πληροφοριών συστήματος.

TeamCity

Οι φορείς απειλών αναπτύσσουν τελικά ένα payload που εγκαθιστά το HazyLoad proxy tool, που επιτρέπει μια μόνιμη σύνδεση μεταξύ του παραβιασμένου διακομιστή και των διακομιστών των hackers Andariel.

Η Microsoft μοιράστηκε περισσότερες τεχνικές λεπτομέρειες για όλες τις επιθέσεις που εντόπισε.

Όπως φαίνεται και από την περίπτωση του TeamCity bug, οι ευπάθειες αποτελούν σημαντικό στοιχείο κινδύνου στην κυβερνοασφάλεια. Πρόκειται για σφάλματα ή αδυναμίες που μπορεί να εκμεταλλευθεί ένας κυβερνοεγκληματίας, προκειμένου να παραβιάσει τα συστήματα ασφάλειας, να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες ή να προκαλέσει άλλου είδους ζημιά.

Lazarus και Andariel hackers

Τόσο η Lazarus όσο και η Andariel είναι βορειοκορεατικές hacking ομάδες που χρηματοδοτούνται από το κράτος. Η Andariel είναι υπο-ομάδα της Lazarus. Οι επιθέσεις των ομάδων χρησιμοποιούνται προς όφελος της κυβέρνησης της Βόρειας Κορέας, αλλά συνήθως στοχεύουν σε διαφορετικά πράγματα.

Δείτε επίσης: Lazarus Group: Εκμεταλλεύεται κρίσιμο ελάττωμα του Zoho ManageEngine για να διασπείρει το QuiteRAT

Οι Lazarus hackers έχει συνδεθεί με διάφορες επιθέσεις κατασκοπείας, κλοπής δεδομένων και οικονομικού κέρδους. Συχνά, στοχεύουν ερευνητές ασφάλειας, παραβιάζουν πλατφόρμες crypto και κλέβουν κρυπτονομίσματα. Επίσης, έχουν παρατηρηθεί πολλές επιθέσεις με ψεύτικες συνεντεύξεις για εργασία, οι οποίες διανέμουν malware.

Από την άλλη πλευρά, η ομάδα Andariel στοχεύει οντότητες άμυνας και υπηρεσιών πληροφορικής στη Νότια Κορέα, τις Ηνωμένες Πολιτείες και την Ινδία για να διεξάγει κατασκοπεία στον κυβερνοχώρο, κλοπή δεδομένων και επιθέσεις ransomware.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS