美国、波兰和英国网络安全机构发现俄罗斯官方黑客组织利用 JetBrains 漏洞
2023-12-14 10:44:18 Author: hackernews.cc(查看原文) 阅读量:17 收藏

美国、波兰和英国的政府机构周三表示,俄罗斯对外情报局 (SVR) 一直在利用今年早些时候捷克软件巨头 JetBrains 的一款热门产品中暴露的一个关键漏洞。

官员们表示,在发现数百台受感染的设备后,他们已通知美国、欧洲、亚洲和澳大利亚的数十家公司。

文章图片1

这些机构将这些攻击归咎于被称为 APT29 的俄罗斯SVR黑客——网络安全研究人员也将其追踪为 CozyBear 或 Midnight Blizzard——并表示这场“大规模”攻击活动于 9 月份开始。

微软此前表示,朝鲜黑客在 9 月份利用了这个标记为 CVE-2023-42793 的漏洞。它影响了名为 TeamCity 的产品,开发人员使用该产品在发布之前测试和交换软件代码。

SVR 已被发现“使用通过利用 TeamCity CVE 收集的初始访问权限来升级其权限、横向移动、部署更多后门,并采取其他步骤来确保对受感染网络环境的持续和长期访问”。

一般来说,除了拥有未打补丁、可通过互联网访问的 JetBrains TeamCity 服务器之外,受害者类型不符合任何类型的模式或趋势,这导致人们认为 SVR 对这些受害者网络的利用本质上是机会主义的,并不一定是恶意的、有针对性的攻击。

受到攻击的组织包括能源贸易协会;提供计费、医疗设备、客户服务、员工监控、财务管理、营销、销售和视频游戏软件的公司;以及网络托管公司、工具制造商以及小型和大型 IT 公司。

据  PRODRAFT 的研究人员称,JetBrains于 9 月 20 日发布了针对该关键漏洞的补丁,但随后发布的技术细节导致一系列勒索软件组织立即利用该补丁。超过 1,200 台未打补丁的服务器被发现容易受到该漏洞的影响。

针对软件开发人员

该通报由 FBI、NSA、美国网络安全和基础设施安全局 (CISA)、波兰军事反情报局 (SKW)、波兰国家网络安全中心 CERT (CERT.PL) 和英国国家网络安全中心 (NCSC) 发布。

他们警告说,对 TeamCity 服务器的访问将“让恶意攻击者能够访问该软件开发人员的源代码、签署证书以及破坏软件编译和部署流程的能力——攻击者可以进一步利用这些访问来进行供应链操作。”

该通报指出,SVR 此前利用SolarWinds 软件中的漏洞进行了类似的攻击,但并未以同样的方式利用其对 TeamCity 漏洞的访问权限。

周三的咨询报告中提出的主要担忧之一是,SVR 可能会从数十名使用 TeamCity 的软件开发人员的网络受到损害中受益。

虽然评估 SVR 尚未使用其对软件开发人员的访问权限来访问客户网络,并且可能仍处于运营的准备阶段,但访问这些公司网络为 SVR 提供了实现难以访问的机会。

任何拥有受影响系统但没有立即应用 JetBrains 补丁的组织都应该假设它们已受到损害并开始调查。

这些机构表示,他们发现 SVR 利用该漏洞窃取文件,从而深入了解受害者的操作系统,并使用多种技术“禁用或彻底杀死端点检测和响应 (EDR) 以及防病毒 (AV) 软件”。

SVR 黑客被发现使用多种定制和开源可用工具和后门。

他们表示:“FBI、CISA、NSA、SKW、CERT Polska 和 NCSC 评估了该活动的范围和不分青红皂白的目标对公共安全构成的威胁,并建议组织实施以下缓解措施,以改善组织的网络安全态势。”

持续十多年的网络行动

这些机构指出,SVR 至少自 2013 年以来就有针对全球公共和私人组织网络的悠久历史。SVR 表现出“一种长期的目标模式,旨在收集并能够收集外国情报,对俄罗斯而言,广义概念涵盖外国政治、经济和军事信息;科学和技术; 和外国反情报组织信息。”

该咨询报告补充说,美国政府于 2016 年 12 月发布了一份报告,强调了 SVR 在美国政党在总统选举前的网络攻击行动中所扮演的角色——指的是民主党全国委员会网络遭到黑客攻击。

中央情报局当时告诉美国立法者,大多数机构认为 SVR 进行黑客攻击是为了帮助唐纳德·特朗普赢得总统职位。SVR还攻击了共和党全国委员会,但没有公布从其网络窃取的信息。

2020 年,黑客还利用定制恶意软件针对参与 COVID-19 疫苗开发的组织和能源公司。

根据该通报,SVR 的黑客目前参与了一项名为“外交轨道者”的活动,涉及针对外交机构的入侵,目标是世界各地的数十个大使馆。

微软官方X(原twitter)发布了自己关于 JetBrains 攻击的通知,指出其之前关于与朝鲜政府有关的多个黑客组织利用该漏洞的警告。

ac7nd-hl065

这家科技巨头在调查中表示,发现 SVR 黑客使用 VaporRage 恶意软件。他们呼应了执法部门的建议,他们还看到了凭证盗窃、试图关闭防病毒工具以及更深入地访问受感染系统的行为

转自“会杀毒的单反狗”,原文链接https://mp.weixin.qq.com/s/QW3TVk2KbiRDaKtjVkyvuQ?from=industrynews&version=4.1.15.6007&platform=win

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/48031
如有侵权请联系:admin#unsafe.sh