Gli attori di minaccia dietro al ransomware BianLian hanno intensificato le loro operazioni sfruttando vulnerabilità nel software JetBrains TeamCity per condurre attacchi esclusivamente estorsivi. Secondo GuidePoint Security, che ha risposto a una recente intrusione, gli aggressori hanno sfruttato un server TeamCity vulnerabile, implementando una backdoor BianLian in PowerShell. Questa tattica segna un’evoluzione nelle strategie di attacco del gruppo, noto per la sua capacità di adattarsi rapidamente alle contromisure di sicurezza.
Tattiche, tecniche e procedure di BianLian
L’incursione dettagliata da GuidePoint Security rivela un modus operandi sofisticato, con l’exploit di vulnerabilità specifiche come CVE-2024-27198 o CVE-2023-42793 per ottenere accesso iniziale, seguito dalla creazione di nuovi utenti nel server di build e dall’esecuzione di comandi dannosi per il movimento laterale. L’obiettivo finale è stabilire una presenza persistente all’interno delle reti compromesse, facilitando ulteriori azioni malevole.
Minaccia persistente di BianLian
BianLian si è distinto per l’uso di backdoor personalizzate scritte in Go, adattate per ciascuna vittima, oltre all’implementazione di strumenti di desktop remoto come AnyDesk, Atera, SplashTop e TeamViewer. La versione PowerShell della backdoor, nota per la sua efficacia nell’eludere le difese tradizionali, sottolinea la continua evoluzione delle tattiche del gruppo.
Implicazioni e difese
La crescente adattabilità di BianLian evidenzia l’importanza per le organizzazioni di mantenere una vigilanza costante e di adottare misure di sicurezza proattive. La capacità di sfruttare rapidamente nuove vulnerabilità e di passare a tecniche alternative di attacco, come dimostrato dall’uso della backdoor PowerShell, richiede un approccio olistico alla sicurezza informatica, che comprenda la patching tempestivo, il monitoraggio continuo della rete e la formazione degli utenti sulla sicurezza informatica.