Корпорация Microsoft предупреждает, что северокорейские хакерские группы Lazarus и Andariel эксплуатируют уязвимость в серверах TeamCity для развертывания вредоносного ПО с целью компрометации цепочки поставок программного обеспечения.
TeamCity – это сервер непрерывной интеграции и развертывания, который организации используют в рамках своей инфраструктуры разработки ПО.
В сентябре TeamCity устранил критическую уязвимость CVE-2023-42793(CVSS: 9.8), которая позволяла неавторизованному злоумышленнику удаленно выполнять код. Несмотря на быстрое исправление уязвимости, киберпреступники начали эксплуатировать недостаток для взлома корпоративных сетей.
Согласно отчётуMicrosoft, группировки Lazarus (Diamond Sleet, ZINC) и Andariel (Onyx Sleet, PLUTONIUM) активно используют уязвимость CVE-2023-42793. Хотя конечная цель атак пока неизвестна, специалисты предполагают, что она может заключаться в проведении атак на поставщиков программного обеспечения.
После взлома сервера TeamCity киберпреступники используют различные способы для развертывания вредоносного ПО и получения постоянного доступа к зараженной сети. В частности, Lazarus использует вредоносное ПО ForestTiger в качестве бэкдора для выполнения команд на взломанном сервере. ForestTiger позволяет хакерам иметь постоянный и скрытый доступ к системе. В свою очередь, Andariel создает административную учетную запись на взломанном сервере, которая позволяет собирать системную информацию и выполнять команды.
Компания Microsoft поделилась более подробной технической информацией о всех выявленных видах атак, включая индикаторы компрометации.