Oggi, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, insieme al Federal Bureau of Investigation (FBI), alla National Security Agency (NSA), al Servizio di Controspionaggio Militare Polacco (SKW), a CERT Polska (CERT.PL) e al National Cyber Security Centre (NCSC) del Regno Unito, ha rilasciato un Avviso di Cybersecurity congiunto contro CozyBear, APT affiliato al Servizio di Intelligence Estero Russo (SVR) che sfruttano globalmente una vulnerabilità in JetBrains TeamCity, identificata come CVE-2023-42793.
Dettagli dell’Avviso
Dal settembre 2023, gli attori cyber affiliati allo SVR (noti anche come Advanced Persistent Threat 29 (APT 29), the Dukes, CozyBear e NOBELIUM/Midnight Blizzard) hanno preso di mira i server che ospitano il software JetBrains TeamCity e non solo se consideriamo i diversi rapporti Cisa contro le APT russe. Questo ha permesso loro di eludere l’autorizzazione e eseguire codice arbitrario sul server compromesso. L’avviso congiunto fornisce informazioni sul più recente compromesso dello SVR, indicatori di compromissione (IOC) utili e regole SIGMA e YARA.
Raccomandazioni e Misure di Mitigazione
Le agenzie autrici incoraggiano i difensori di rete e le organizzazioni a rivedere l’avviso congiunto per le misure di mitigazione e le regole raccomandate. Per ulteriori informazioni sugli attori di minacce persistenti avanzate e sulle minacce cyber russe, si può consultare le pagine web di CISA su “Advanced Persistent Threats and Nation-State Actors” e “Russia Cyber Threat Overview and Advisories”. Per ulteriori linee guida su come proteggersi dalle minacce più comuni e impattanti, è possibile visitare la pagina web di CISA “Cross-Sector Cybersecurity Performance Goals“.