Было замечено, что исполнители угроз, стоящие за программой-вымогателем BianLian, используют недостатки безопасности программного обеспечения JetBrains TeamCity для проведения своих атак только с целью вымогательства.
Согласно новому отчету GuidePoint Security, который отреагировал на недавнее вторжение, инцидент "начался с эксплуатации сервера TeamCity, что привело к развертыванию PowerShell-реализации бэкдора Go от BianLian".
BianLian появилась в июне 2022 года и с тех пор перешла исключительно к вымогательству на основе эксфильтрации после выпуска дешифратора в январе 2023 года.
Цепочка атак, наблюдаемая фирмой по кибербезопасности, включает использование уязвимого экземпляра TeamCity с использованием CVE-2024-27198 или CVE-2023-42793 для получения начального доступа к среде, с последующим созданием новых пользователей на сервере сборки и выполнением вредоносных команд для последующей эксплуатации и последующего перемещения.
В настоящее время неясно, какие из двух недостатков были использованы участником угрозы для проникновения.
Известно, что исполнители BianLian внедряют индивидуальный бэкдор, адаптированный к каждой жертве, написанный на Go, а также удаляют инструменты удаленного рабочего стола, такие как AnyDesk, Atera, SplashTop и TeamViewer. Microsoft отслеживает бэкдор как BianDoor.
"После нескольких неудачных попыток запустить их стандартный бэкдор Go, исполнитель угроз переключился на автономный режим работы и использовал реализацию своего бэкдора в PowerShell, которая обеспечивает почти идентичную функциональность тому, что они имели бы с помощью своего бэкдора Go", - сказали исследователи безопасности Джастин Тимоти, Гейб Ренфро и Кевен Мерфи.
Скрытый бэкдор PowerShell ("web.ps1") предназначен для установления TCP-сокета для дополнительной сетевой связи с сервером, контролируемым участником, позволяя удаленным злоумышленникам выполнять произвольные действия на зараженном хосте.
"Подтвержденный в настоящее время бэкдор способен взаимодействовать с сервером [командования и контроля] и асинхронно выполняться в зависимости от целей удаленного злоумышленника после эксплуатации", - сказали исследователи.
Раскрытие происходит в виде подробных свежих эксплойтов VulnCheck для проверки концепции (PoC) критической уязвимости безопасности, влияющей на Центр обработки данных Atlassian Confluence и сервер Confluence Server (CVE-2023-22527), которые могут привести к удаленному выполнению кода без файлов и загрузке веб-оболочки Godzilla непосредственно в память.
С тех пор уязвимость была использована для развертывания программ-вымогателей C3RB3R, майнеров криптовалют и троянов удаленного доступа в течение последних двух месяцев, что указывает на широкое распространение их использования в дикой природе.
"Существует более одного способа добраться до Рима", - отметил Джейкоб Бейнс из VulnCheck. "При использовании freemarker.template.utility.Выполнение, по-видимому, является популярным способом использования CVE-2023-22527, другие, более скрытые пути генерируют другие индикаторы."
Согласно новому отчету GuidePoint Security, который отреагировал на недавнее вторжение, инцидент "начался с эксплуатации сервера TeamCity, что привело к развертыванию PowerShell-реализации бэкдора Go от BianLian".
BianLian появилась в июне 2022 года и с тех пор перешла исключительно к вымогательству на основе эксфильтрации после выпуска дешифратора в январе 2023 года.
Цепочка атак, наблюдаемая фирмой по кибербезопасности, включает использование уязвимого экземпляра TeamCity с использованием CVE-2024-27198 или CVE-2023-42793 для получения начального доступа к среде, с последующим созданием новых пользователей на сервере сборки и выполнением вредоносных команд для последующей эксплуатации и последующего перемещения.
В настоящее время неясно, какие из двух недостатков были использованы участником угрозы для проникновения.
Известно, что исполнители BianLian внедряют индивидуальный бэкдор, адаптированный к каждой жертве, написанный на Go, а также удаляют инструменты удаленного рабочего стола, такие как AnyDesk, Atera, SplashTop и TeamViewer. Microsoft отслеживает бэкдор как BianDoor.
"После нескольких неудачных попыток запустить их стандартный бэкдор Go, исполнитель угроз переключился на автономный режим работы и использовал реализацию своего бэкдора в PowerShell, которая обеспечивает почти идентичную функциональность тому, что они имели бы с помощью своего бэкдора Go", - сказали исследователи безопасности Джастин Тимоти, Гейб Ренфро и Кевен Мерфи.
Скрытый бэкдор PowerShell ("web.ps1") предназначен для установления TCP-сокета для дополнительной сетевой связи с сервером, контролируемым участником, позволяя удаленным злоумышленникам выполнять произвольные действия на зараженном хосте.
"Подтвержденный в настоящее время бэкдор способен взаимодействовать с сервером [командования и контроля] и асинхронно выполняться в зависимости от целей удаленного злоумышленника после эксплуатации", - сказали исследователи.
Раскрытие происходит в виде подробных свежих эксплойтов VulnCheck для проверки концепции (PoC) критической уязвимости безопасности, влияющей на Центр обработки данных Atlassian Confluence и сервер Confluence Server (CVE-2023-22527), которые могут привести к удаленному выполнению кода без файлов и загрузке веб-оболочки Godzilla непосредственно в память.
С тех пор уязвимость была использована для развертывания программ-вымогателей C3RB3R, майнеров криптовалют и троянов удаленного доступа в течение последних двух месяцев, что указывает на широкое распространение их использования в дикой природе.
"Существует более одного способа добраться до Рима", - отметил Джейкоб Бейнс из VulnCheck. "При использовании freemarker.template.utility.Выполнение, по-видимому, является популярным способом использования CVE-2023-22527, другие, более скрытые пути генерируют другие индикаторы."
