Темные времена для IT: северокорейские хакеры используют слабости TeamCity

Корпорация Microsoft предупреждает, что северокорейские хакерские группы Lazarus и Andariel эксплуатируют уязвимость в серверах TeamCity для развертывания вредоносного ПО с целью компрометации цепочки поставок программного обеспечения.

TeamCity – это сервер непрерывной интеграции и развертывания, который организации используют в рамках своей инфраструктуры разработки ПО.

В сентябре TeamCity устранил критическую уязвимость CVE-2023-42793 (CVSS: 9.8), которая позволяла неавторизованному злоумышленнику удаленно выполнять код. Несмотря на быстрое исправление уязвимости, киберпреступники начали эксплуатировать недостаток для взлома корпоративных сетей.

Согласно отчёту Microsoft, группировки Lazarus (Diamond Sleet, ZINC) и Andariel (Onyx Sleet, PLUTONIUM) активно используют уязвимость CVE-2023-42793. Хотя конечная цель атак пока неизвестна, специалисты предполагают, что она может заключаться в проведении атак на поставщиков программного обеспечения.

После взлома сервера TeamCity киберпреступники используют различные способы для развертывания вредоносного ПО и получения постоянного доступа к зараженной сети. В частности, Lazarus использует вредоносное ПО ForestTiger в качестве бэкдора для выполнения команд на взломанном сервере. ForestTiger позволяет хакерам иметь постоянный и скрытый доступ к системе. В свою очередь, Andariel создает административную учетную запись на взломанном сервере, которая позволяет собирать системную информацию и выполнять команды.

Компания Microsoft поделилась более подробной технической информацией о всех выявленных видах атак, включая индикаторы компрометации.