Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

BianLian использует уязвимости в TeamCity для вымогательства

12/03/24

hack41-Mar-12-2024-11-25-13-4666-AM

ИБ-компания GuidePoint Security обнаружила, что группировка BianLian эксплуатирует уязвимости в программном обеспечении JetBrains TeamCity для проведения вымогательских атак.

Специалисты зафиксировали цепочку атак, начинающуюся с эксплуатации экземпляра TeamCity через уязвимости CVE-2024-27198 (оценка CVSS: 9.8) или CVE-2023-42793 (оценка CVSS: 9.8), что позволило злоумышленникам получить первоначальный доступ к системе, создать новые аккаунты на сервере сборки и выполнить вредоносные команды для последующего проникновения и перемещения внутри сети. На данный момент неясно, какой из двух недостатков использовался для проникновения.

Особенность атак BianLian заключается в использовании специально разработанного для каждой жертвы бэкдора на языке Go, а также внедрении инструментов удаленного доступа – AnyDesk, Atera, SplashTop и TeamViewer. Об этом пишет Securitylab.

Бэкдор BianLian отслеживается Microsoft как BianDoor. После нескольких неудачных попыток использовать стандартный бэкдор на Go, киберпреступники перешли к методу Living off the Land (LotL) и использовали свой бэкдор на PowerShell, которая обеспечивает практически тот же инструментарий.

Обфусцированный бэкдор PowerShell создает TCP-сокет для дополнительной связи с сервером управления и контроля (Command and Control, C2), позволяя хакерам выполнять произвольные действия на зараженном хосте с целью вымогательства.

Отметим, что CVE-2023-42793 уже использовалась в атаках на неисправленные серверы TeamCity. Эксплуатация уязвимости позволяет неаутентифицированному хакеру достигнуть удаленного выполнения кода (Remote Code Execution, RCE) без взаимодействия с пользователем. Как заявило агентство CISA, получение доступа к TeamCity позволяет атакующему повышать свои привилегии, перемещаться по сетям, устанавливать дополнительные бэкдоры и обеспечивать долгосрочный доступ к скомпрометированным сетям, в частности, к сетям разработчиков программного обеспечения.

Ошибка CVE-2024-27198 была обнаружена в начале марта и затрагивает все версии TeamCity On-Premises до 2023.11.3 включительно. Уязвимость позволяют неаутентифицированному злоумышленнику с доступом по HTTP(S) к серверу TeamCity обойти проверку подлинности и получить административный контроль над сервером. Компрометация сервера TeamCity позволяет атакующему полностью контролировать все проекты, сборки, агенты и артефакты TeamCity, что делает его подходящим инструментом для проведения атак на цепочки поставок.

Темы:УгрозыбэкдорыJetBrainsGuidePoint Security
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...