BianLian 威胁参与者利用 JetBrains TeamCity 缺陷发起勒索软件攻击

阅读量30723

发布时间 : 2024-03-12 11:04:44

据观察,BianLian 勒索软件背后的威胁行为者利用 JetBrains TeamCity 软件中的安全漏洞进行勒索攻击。

GuidePoint Security 对最近的一次入侵做出了回应,根据一份新报告,该事件“始于对 TeamCity 服务器的利用,导致部署了 BianLian Go 后门的 PowerShell 实现”。

BianLian于 2022 年 6 月出现,自2023 年 1 月发布解密器以来,一直专注于基于渗透的勒索。

网络安全公司观察到的攻击链需要利用CVE-2024-27198或CVE-2023-42793来利用易受攻击的 TeamCity 实例来获得对环境的初始访问权限,然后在构建服务器中创建新用户并执行恶意命令利用后和横向运动。

目前尚不清楚威胁行为者将这两个缺陷中的哪一个用于渗透。

众所周知,BianLian 攻击者会植入一个用 Go 编写的针对每个受害者的定制后门,并投放 AnyDesk、Atera、SplashTop 和 TeamViewer 等远程桌面工具。该后门被微软追踪为BianDoor。

“在多次尝试执行标准 Go 后门失败后,威胁行为者转而谋生,并利用 PowerShell 实现后门,这提供了与 Go 后门几乎相同的功能,”安全研究人员 Justin Timothy、Gabe Renfro 和 Keven Murphy 说道。

混淆的 PowerShell 后门(“web.ps1”)旨在建立一个 TCP 套接字,用于与攻击者控制的服务器进行额外的网络通信,从而允许远程攻击者在受感染的主机上执行任意操作。

研究人员表示:“现已确认的后门能够与[命令和控制]服务器进行通信,并根据远程攻击者的后利用目标异步执行。”

此次披露之际,VulnCheck 详细介绍了影响 Atlassian Confluence 数据中心和 Confluence 服务器的关键安全漏洞 ( CVE-2023-22527 ) 的新概念验证 (PoC) 漏洞,该漏洞可能导致以无文件方式远程执行代码并加载哥斯拉 web shell 直接进入内存。

在过去的两个月里,该漏洞已被武器化,用于部署 C3RB3R 勒索软件、加密货币挖矿程序和远程访问木马,这表明该漏洞已被广泛利用。

“到达罗马的方式不止一种,”VulnCheck 的 Jacob Baines指出。“虽然使用 freemarker.template.utility.Execute 似乎是利用 CVE-2023-22527 的流行方式,但其他更隐蔽的路径会生成不同的指标。”

本文转载自: https://thehackernews.com/2024/03/bianlian-threat-actors-exploiting.html

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66