更多全球网络安全资讯尽在邑安全
微软表示,朝鲜 Lazarus 和 Andariel 黑客组织正在利用 TeamCity 服务器中的 CVE-2023-42793 漏洞部署后门恶意软件,可能会发起软件供应链攻击。
TeamCity 是一种持续集成和部署服务器,组织将其用作其软件开发基础架构的一部分。
9 月份,TeamCity 修复了一个名为 CVE-2023-42793 的严重 9.8/10 漏洞 ,该漏洞允许未经身份验证的攻击者远程执行代码。
虽然 TeamCity 迅速修复了该漏洞,但勒索软件团伙等威胁行为者 开始利用该缺陷破坏企业网络。
朝鲜黑客利用 TeamCity
在一份新报告中,微软威胁情报团队表示,Lazarus(又名 Diamond Sleet 和 ZINC)和 Andariel(又名 Onyx Sleet 和 PLUTONIUM)黑客组织已被发现利用 CVE-2023-42793 来破坏 TeamCity 服务器。
虽然微软没有透露这些攻击的最终目标,但他们认为可能是进行软件供应链攻击。
微软解释说:“在过去的行动中,Diamond Sleet 和其他朝鲜威胁行为者已经通过渗透构建环境成功地实施了软件供应链攻击 。”
“有鉴于此,微软评估该活动对受影响的组织构成特别高的风险。”
一旦威胁行为者破坏了 TeamCity 服务器,他们就会利用不同的攻击链来部署后门并在受感染的网络上获得持久性。
人们发现 Lazarus 在一个攻击链中部署了 ForestTiger 恶意软件,该攻击链被用作在被破坏的服务器上执行命令的后门。
来源:微软
来源:微软
微软表示,无论攻击如何进行,黑客最终都会从 LSASS 转储凭据,这些凭据可能用于在受感染的网络上横向传播。
微软分享了所有三个观察到的攻击链的更多技术细节,包括 妥协指标。
拉撒路和安达利尔是谁
Lazarus 和 Andariel 都是国家支持的朝鲜黑客组织,Andariel 是 Lazarus 的子组织
虽然这些组织的攻击是为了让朝鲜政府受益,但他们的目标可能有所不同。
Lazarus 与各种间谍活动、数据盗窃和经济利益攻击有关,包括 针对安全研究人员、 木马化开源加密平台、进行 大规模加密货币抢劫以及进行 虚假工作面试以传播恶意软件。
另一方面,Andariel 针对韩国、美国和印度的国防和 IT 服务实体进行网络间谍、数据盗窃、破坏性攻击和 勒索软件攻击。
众所周知,该组织利用漏洞来初始访问公司网络。
原文来自: bleepingcomputer.com
原文链接:https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-critical-teamcity-flaw-to-breach-networks/
推荐文章
1
2
原文始发于微信公众号(邑安全):朝鲜黑客利用 TeamCity 的关键缺陷破坏网络
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论