ИБ-компания GuidePoint Security обнаружила, что группировка BianLian эксплуатирует уязвимости в программном обеспечении JetBrains TeamCity для проведения вымогательских атак.
Специалисты зафиксировали цепочку атак, начинающуюся с эксплуатации экземпляра TeamCity через уязвимости CVE-2024-27198 (оценка CVSS: 9.8) или CVE-2023-42793 (оценка CVSS: 9.8), что позволило злоумышленникам получить первоначальный доступ к системе, создать новые аккаунты на сервере сборки и выполнить вредоносные команды для последующего проникновения и перемещения внутри сети. На данный момент неясно, какой из двух недостатков использовался для проникновения.
Особенность атак BianLian заключается в использовании специально разработанного для каждой жертвы бэкдора на языке Go, а также внедрении инструментов удаленного доступа – AnyDesk, Atera, SplashTop и TeamViewer.
Бэкдор BianLian отслеживается Microsoft как BianDoor. После нескольких неудачных попыток использовать стандартный бэкдор на Go, киберпреступники перешли к методу Living off the Land (LotL) и использовали реализацию своего бэкдора на PowerShell, которая обеспечивает практически идентичный функционал. Обфусцированный бэкдор PowerShell создает TCP-сокет для дополнительной связи с сервером управления и контроля (Command and Control, ” data-html=”true” data-original-title=”C2″ >C2), позволяя хакерам выполнять произвольные действия на зараженном хосте с целью вымогательства.
Отметим, что CVE-2023-42793 уже использовалась в атаках на неисправленные серверы TeamCity. Эксплуатация уязвимости позволяет неаутентифицированному хакеру достигнуть удаленного выполнения кода (Remote Code Execution, RCE) без взаимодействия с пользователем. Как заявило агентство CISA, получение доступа к TeamCity позволяет атакующему повышать свои привилегии, перемещаться по сетям, устанавливать дополнительные бэкдоры и обеспечивать долгосрочный доступ к скомпрометированным сетям, в частности, к сетям разработчиков программного обеспечения.
Ошибка CVE-2024-27198 была обнаружена в начале марта и затрагивает все версии TeamCity On-Premises до 2023.11.3 включительно. Уязвимость позволяют неаутентифицированному злоумышленнику с доступом по HTTP(S) к серверу TeamCity обойти проверку подлинности и получить административный контроль над сервером. Компрометация сервера TeamCity позволяет атакующему полностью контролировать все проекты, сборки, агенты и артефакты TeamCity, что делает его подходящим инструментом для проведения атак на цепочки поставок.