Các tác nhân đe dọa đằng sau ransomware BianLian đã được quan sát thấy khai thác các lỗ hổng bảo mật trong phần mềm JetBrains TeamCity để thực hiện các cuộc tấn công tống tiền của họ.
Theo một báo cáo mới từ GuidePoint Security, đã phản ứng với một vụ xâm nhập gần đây, vụ việc "bắt đầu với việc khai thác một máy chủ TeamCity dẫn đến việc triển khai triển khai PowerShell của cửa hậu Go của BianLian."
BianLian nổi lên vào tháng 6/2022 và kể từ đó đã xoay trục hoàn toàn sang tống tiền dựa trên xâm nhập sau khi phát hành trình giải mã vào tháng 1/2023.
Chuỗi tấn công được quan sát bởi công ty an ninh mạng đòi hỏi phải khai thác một phiên bản TeamCity dễ bị tấn công bằng cách sử dụng CVE-2024-27198 hoặc CVE-2023-42793 để có quyền truy cập ban đầu vào môi trường, tiếp theo là tạo người dùng mới trong máy chủ xây dựng và thực hiện các lệnh độc hại để sau khai thác và di chuyển bên.
Hiện tại vẫn chưa rõ lỗ hổng nào trong số hai lỗ hổng đã được vũ khí hóa bởi tác nhân đe dọa để xâm nhập.
Các diễn viên BianLian được biết là cấy ghép một backdoor tùy chỉnh phù hợp với từng nạn nhân được viết bằng Go, cũng như thả các công cụ máy tính từ xa như AnyDesk, Atera, SplashTop và TeamViewer. Backdoor được Microsoft theo dõi là BianDoor.
"Sau nhiều nỗ lực thất bại để thực hiện cửa hậu Go tiêu chuẩn của họ, tác nhân đe dọa đã xoay quanh việc sống ngoài đất liền và tận dụng việc triển khai PowerShell cho backdoor của họ, cung cấp chức năng gần giống với những gì họ sẽ có với cửa hậu Go của họ", các nhà nghiên cứu bảo mật Justin Timothy, Gabe Renfro và Keven Murphy cho biết.
Backdoor PowerShell bị xáo trộn ("web.ps1") được thiết kế để thiết lập một ổ cắm TCP để giao tiếp mạng bổ sung với máy chủ do tác nhân điều khiển, cho phép những kẻ tấn công từ xa thực hiện các hành động tùy ý trên máy chủ bị nhiễm.
"Backdoor hiện đã được xác nhận có thể giao tiếp với máy chủ [ra lệnh và kiểm soát] và thực thi không đồng bộ dựa trên các mục tiêu sau khai thác của kẻ tấn công từ xa", các nhà nghiên cứu cho biết.
Tiết lộ được đưa ra khi VulnCheck trình bày chi tiết các khai thác bằng chứng khái niệm (PoC) mới cho một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Trung tâm dữ liệu Atlassian Confluence và Máy chủ Confluence (CVE-2023-22527) có thể dẫn đến việc thực thi mã từ xa theo cách không có tệp và tải trực tiếp trình bao web Godzilla vào bộ nhớ.
Lỗ hổng này đã được vũ khí hóa để triển khai ransomware C3RB3R, các công cụ khai thác tiền điện tử và trojan truy cập từ xa trong hai tháng qua, cho thấy sự khai thác rộng rãi trong tự nhiên.
"Có nhiều hơn một cách để đến Rome", Jacob Baines của VulnCheck lưu ý. "Trong khi sử dụng freemarker.template.utility.Execute dường như là cách phổ biến để khai thác CVE-2023-22527, các đường dẫn lén lút khác tạo ra các chỉ số khác nhau."