Microsoft, JetBrains TeamCity Kusurundan Yararlanan Kuzey Kore Saldırıları Konusunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

Microsoft, JetBrains TeamCity Kusurundan Yararlanan Kuzey Kore Saldırıları Konusunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

Saldırılar daha sonra, tehlikeye atılan ana bilgisayar ile saldırganın kontrol ettiği altyapı arasında kalıcı bir bağlantı kurulmasına yardımcı olan HazyLoad adlı özel bir proxy aracının konuşlandırılmasına yol açıyor

“Kuzey Kore’nin, Singapur, Vietnam ve Hong Kong da dahil olmak üzere dünya çapındaki altyapı çevresinde kripto para birimini hacklemesinin, füze programının ilerlemesini finanse etmek için kullanılan rejim için önemli bir gelir kaynağı olduğuna ve çok daha büyük olduğuna kesinlikle inanıyoruz

Öte yandan, Onyx Sleet tarafından gerçekleştirilen izinsiz girişler, JetBrains TeamCity hatasının istismar edilmesiyle sağlanan erişimi kullanarak, muhtemelen Kerberos Bilet Verme Biletini taklit etmeyi amaçlayan krtbgt adında yeni bir kullanıcı hesabı oluşturuyor önceden ile ilişkili Lazarus Grubu

Kuzey Kore’nin gelişen saldırı programlarının bir başka işareti olarak ASEC, atfedilen Kimsuky (diğer adıyla APT43) olarak bilinen başka bir tehdit aktörü, çeşitli uzak masaüstü araçları ve VNC yazılımları (örn , TightVNC ve MiniNuke) kurban sistemlerine el koymak ve bilgi sızdırmak “Tehdit aktörü ayrıca güvenliği ihlal edilmiş sistemlerde çeşitli sistem keşif komutları çalıştırıyor

Güney Koreli siber güvenlik firması, “Lazarus grubu, hedef odaklı kimlik avı ve tedarik zinciri saldırıları gibi çeşitli saldırı vektörlerini kullanan, dünya çapında oldukça aktif olan çok tehlikeli gruplardan biridir dll, diğer adıyla RollSling veya Version dll veya FeedLoad) almak için ilk dayanağı kullanır

CVE-2023-42793’ün (CVSS puanı: 9,8) kötüye kullanılmasını gerektiren saldırılar, atfedilen Diamond Sleet (diğer adıyla Labyrinth Chollima) ve Onyx Sleet (diğer adıyla Andariel veya Silent Chollima)

Bu, montajı içerir sulama deliği saldırıları Bulaşmaları etkinleştirmek için INISAFE ve MagicLine ürünlerindeki güvenlik kusurlarını silah haline getiren, belirtilmemiş bir haber sitesindeki belirli bir makaleye sahte bir bağlantı eklemek, bir taktiktir

Yıllar geçtikçe Lazarus grubu, kripto para birimi soygunları ve tedarik zinciri saldırıları yoluyla finansal suç ve casusluk saldırılarını eşit ölçüde düzenleyen, şu anda aktif olan en zararlı ve sofistike gelişmiş kalıcı tehdit (APT) gruplarından biri haline geldi

Bu gelişme, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin (ASEC), Lazarus Grubunun, virüs bulaşmış sistemleri kontrol etmek için arka kapılara hizmet veren bir kanal görevi gören Volgmer ve Scout gibi kötü amaçlı yazılım ailelerini kullanmasını ayrıntılarıyla anlatmasıyla ortaya çıktı

Saldırıların ikinci bir çeşidi, bir sonraki aşamayı yürütmek için DLL arama sırası ele geçirme olarak adlandırılan bir teknik aracılığıyla yüklenen kötü amaçlı bir DLL’yi (DSROLE yük veya uzaktan erişim truva atı (RAT)


19 Ekim 2023Haber odası

Microsoft’a göre Kuzey Koreli tehdit aktörleri, savunmasız sunuculara fırsatçı bir şekilde sızmak için JetBrains TeamCity’deki kritik bir güvenlik açığından aktif olarak yararlanıyor



siber-2

Geçen yıl çok sayıda fırlatma gördük,” ABD Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger, söz konusu

Microsoft, saldırganın belirli durumlarda her iki saldırı dizisindeki araç ve tekniklerin birleşiminden yararlandığına tanık olduğunu söyledi

Microsoft, “Hesabı oluşturduktan sonra tehdit aktörü, hesabı net kullanım aracılığıyla Yerel Yöneticiler Grubuna ekler” dedi

Diamond Sleet tarafından kullanılan iki saldırı yolundan birinde, TeamCity sunucularının başarılı bir şekilde ele geçirilmesinin ardından, daha önce tehdit aktörü tarafından tehlikeye atılan meşru altyapıdan ForestTiger adı verilen bilinen bir implantın konuşlandırılması geliyor ” söz konusubilgisayar korsanlığı ekibini Dream Magic Operasyonu kod adlı başka bir kampanyaya dahil ediyor

Her iki tehdit faaliyeti kümesinin de Lazarus Grubu olarak bilinen kötü şöhretli Kuzey Kore ulus devlet aktörünün parçası olduğunu belirtmekte fayda var

Bir diğer dikkate değer güvenlik ihlali sonrası eylem, saldırgan tarafından kontrol edilen krtbgt hesabının, güvenliği ihlal edilen cihazda uzak masaüstü protokolü (RDP) aracılığıyla oturum açmak için kullanılması ve diğer tehdit aktörlerinin erişimini engellemek amacıyla TeamCity hizmetinin sonlandırılmasıdır