Categorie
Sicurezza Informatica

Microsoft rileva la minaccia della vulnerabilità TeamCity

Tempo di lettura: 2 minuti. Microsoft analizza l’attacco attraverso la vulnerabilità di TeamCity che è stato sfruttato da APT nordcoreane

Tempo di lettura: 2 minuti.

Microsoft ha osservato due attori minacciosi nordcoreani, noti come Diamond Sleet e Onyx Sleet, che sfruttano la vulnerabilità CVE-2023-42793. Questa vulnerabilità riguarda l’esecuzione di codice remoto e colpisce diverse versioni del server JetBrains TeamCity, un’applicazione CI/CD utilizzata per DevOps e altre attività di sviluppo software.

Chi sono Diamond Sleet e Onyx Sleet?

  • Diamond Sleet (ZINC): Un attore minaccioso nordcoreano che si concentra su spionaggio, furto di dati, guadagno finanziario e distruzione di reti. Ha come obiettivo principale media, servizi IT e entità legate alla difesa in tutto il mondo.
  • Onyx Sleet (PLUTONIUM): Altro attore minaccioso nordcoreano che mira principalmente a organizzazioni di difesa e servizi IT in Corea del Sud, Stati Uniti e India.

Percorso di attacco di Diamond Sleet

  1. Implementazione del backdoor ForestTiger: Dopo aver compromesso con successo i server TeamCity, Diamond Sleet utilizza PowerShell per scaricare due payload da un’infrastruttura legittima precedentemente compromessa.
  2. Implementazione di payload per attacchi di hijacking dell’ordine di ricerca DLL: Diamond Sleet sfrutta PowerShell sui server compromessi per scaricare una DLL dannosa da un’infrastruttura controllata dall’attaccante.

Percorso di attacco di Onyx Sleet

Dopo un’efficace sfruttamento utilizzando l’exploit TeamCity, Onyx Sleet crea un nuovo account utente sui sistemi compromessi. Questo account, chiamato “krtbgt”, è probabilmente destinato a impersonare l’account Windows legittimo KRBTGT.

Azione consigliata

Microsoft suggerisce diverse misure di mitigazione, tra cui:

  • Applicare l’aggiornamento o le mitigazioni rilasciate da JetBrains per affrontare CVE-2023-42793.
  • Utilizzare gli indicatori di compromissione inclusi per indagare sulla loro presenza nell’ambiente e valutare una potenziale intrusione.
  • Bloccare il traffico in entrata dagli IP specificati nella tabella IOC.
  • Utilizzare Microsoft Defender Antivirus per proteggersi da questa minaccia.

Indicatori di compromissione (IOC)

Microsoft ha fornito una lista di IOC osservati durante la loro indagine. Questi indicatori dovrebbero aiutare le organizzazioni a identificare attività correlate passate e a prevenire futuri attacchi contro i loro sistemi.

Ulteriori letture

Per ulteriori ricerche sulla sicurezza dalla comunità di intelligence sulle minacce di Microsoft, è possibile consultare il Microsoft Threat Intelligence Blog.

Le organizzazioni devono rimanere aggiornate sulle ultime vulnerabilità e assicurarsi di applicare tempestivamente gli aggiornamenti e le patch necessari

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version