Carding 4 Carders
Professional
По данным Microsoft, северокорейские злоумышленники активно используют критическую уязвимость в системе безопасности JetBrains TeamCity для оппортунистического взлома уязвимых серверов.
Атаки, которые влекут за собой использование CVE-2023-42793 (оценка CVSS: 9,8), были приписаны Diamond Sleet (он же Labyrinth Chollima) и Onyx Sleet (он же Andariel или Silent Chollima).
Стоит отметить, что оба кластера угроз являются частью печально известной северокорейской организации-национального государства, известной как Lazarus Group.
В одном из двух путей атаки, используемых Diamond Sleet, за успешной компрометацией серверов TeamCity следует развертывание известного имплантата под названием ForestTiger из законной инфраструктуры, ранее скомпрометированной субъектом угрозы.
Второй вариант атак использует первоначальный плацдарм для извлечения вредоносной библиотеки DLL (DSROLE.dll она же RollSling или Version.dll или FeedLoad), которая загружается с помощью метода, называемого перехватом заказа поиска в DLL, либо для выполнения полезной нагрузки следующего этапа, либо троянца удаленного доступа (RAT).
Microsoft заявила, что была свидетелем того, как злоумышленник в определенных случаях использовал комбинацию инструментов и приемов из обеих последовательностей атак.
С другой стороны, вторжения, смонтированные Onyx Sleet, используют доступ, предоставленный в результате использования ошибки JetBrains TeamCity, для создания новой учетной записи пользователя с именем krtbgt, которая, вероятно, предназначена для того, чтобы выдавать себя за тикет, предоставляющий тикет Kerberos.
"После создания учетной записи субъект угрозы добавляет ее в локальную группу администраторов через net use", - говорится в сообщении Microsoft. "Субъект угрозы также запускает несколько команд обнаружения системы на скомпрометированных системах".
Впоследствии атаки приводят к развертыванию специального прокси-инструмента под названием HazyLoad, который помогает установить постоянное соединение между скомпрометированным хостом и инфраструктурой, контролируемой злоумышленником.
Другим заметным действием после компрометации является использование контролируемой злоумышленником учетной записи krtbgt для входа на скомпрометированное устройство по протоколу удаленного рабочего стола (RDP) и завершение работы службы TeamCity в попытке предотвратить доступ других участников угрозы.
За эти годы Lazarus group зарекомендовала себя как одна из самых опасных и изощренных групп advanced persistent threat (APT), действующих в настоящее время, организуя финансовые преступления и шпионские атаки в равной степени посредством краж криптовалют и атак на цепочки поставок.
"Мы, безусловно, считаем, что северокорейский взлом криптовалюты в инфраструктуре по всему миру, в том числе в Сингапуре, Вьетнаме и Гонконге, является основным источником дохода для режима, который используется для финансирования продвижения ракетной программы и гораздо большего числа запусков, которые мы наблюдали за последний год", – сказала заместитель советника США по национальной безопасности Энн Нойбергер.
Разработка началась после того, как Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) подробно описал использование Lazarus Group семейств вредоносных программ, таких как Volgmer и Scout, которые служат каналом для обслуживания бэкдоров для контроля зараженных систем.
"Группа Lazarus является одной из очень опасных групп, которые очень активны по всему миру, используя различные векторы атак, такие как фишинг-рассылка и атаки на цепочки поставок", - заявила южнокорейская фирма по кибербезопасности, привлекая хакерскую команду к другой кампании под кодовым названием Operation Dream Magic.
Это включает в себя монтаж водопой атак посредством вставки изгоев ссылке в конкретные статьи не уточняется новости сайта, что weaponizes изъяны в безопасности INISAFE и MagicLine товары для активации инфекций, тактика, ранее связанные с тем Лазаря группы.
Еще одним признаком развития атакующих программ в Северной Корее является то, что ASEC приписывает другому субъекту угрозы, известному как Kimsuky (он же APT43), новую серию фишинговых атак, использующих вредоносное ПО BabyShark для установки разнообразных инструментов удаленного рабочего стола и программного обеспечения VNC (например, TightVNC и TinyNuke) для захвата систем жертв и извлечения информации.
https://thn.news/moon-i-1.1
