据观察,BianLian 勒索软件背后的威胁行为者利用 JetBrains TeamCity 软件中的安全漏洞进行勒索攻击。
GuidePoint Security 对最近的一次入侵做出了回应,根据一份新报告,该事件“始于对 TeamCity 服务器的利用,导致部署了 BianLian Go 后门的 PowerShell 实现”。
BianLian于 2022 年 6 月出现,自2023 年 1 月发布解密器以来,一直专注于基于渗透的勒索。
网络安全公司观察到的攻击链需要利用CVE-2024-27198或CVE-2023-42793来利用易受攻击的 TeamCity 实例来获得对环境的初始访问权限,然后在构建服务器中创建新用户并执行恶意命令利用后和横向运动。
目前尚不清楚威胁行为者将这两个缺陷中的哪一个用于渗透。
众所周知,BianLian 攻击者会植入一个用 Go 编写的针对每个受害者的定制后门,并投放 AnyDesk、Atera、SplashTop 和 TeamViewer 等远程桌面工具。该后门被微软追踪为BianDoor。
“在多次尝试执行标准 Go 后门失败后,威胁行为者转而谋生,并利用 PowerShell 实现后门,这提供了与 Go 后门几乎相同的功能,”安全研究人员 Justin Timothy、Gabe Renfro 和 Keven Murphy 说道。
混淆的 PowerShell 后门(“web.ps1”)旨在建立一个 TCP 套接字,用于与攻击者控制的服务器进行额外的网络通信,从而允许远程攻击者在受感染的主机上执行任意操作。
研究人员表示:“现已确认的后门能够与[命令和控制]服务器进行通信,并根据远程攻击者的后利用目标异步执行。”
此次披露之际,VulnCheck 详细介绍了影响 Atlassian Confluence 数据中心和 Confluence 服务器的关键安全漏洞 ( CVE-2023-22527 ) 的新概念验证 (PoC) 漏洞,该漏洞可能导致以无文件方式远程执行代码并加载哥斯拉 web shell 直接进入内存。
在过去的两个月里,该漏洞已被武器化,用于部署 C3RB3R 勒索软件、加密货币挖矿程序和远程访问木马,这表明该漏洞已被广泛利用。
“到达罗马的方式不止一种,”VulnCheck 的 Jacob Baines指出。“虽然使用 freemarker.template.utility.Execute 似乎是利用 CVE-2023-22527 的流行方式,但其他更隐蔽的路径会生成不同的指标。”
发表评论
您还未登录,请先登录。
登录