- 9,536
- 18
- 8 Ноя 2022
Несмотря на исправление, недостаток активно используется для взлома корпоративных сетей.
Корпорация Microsoft предупреждает, что северокорейские хакерские группы Lazarus и Andariel эксплуатируют уязвимость в серверах TeamCity для развертывания вредоносного ПО с целью компрометации цепочки поставок программного обеспечения.
TeamCity – это сервер непрерывной интеграции и развертывания, который организации используют в рамках своей инфраструктуры разработки ПО.
В сентябре TeamCity Для просмотра ссылки Войдиили Зарегистрируйся критическую уязвимость Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.8), которая позволяла неавторизованному злоумышленнику удаленно выполнять код. Несмотря на быстрое исправление уязвимости, киберпреступники начали эксплуатировать недостаток для взлома корпоративных сетей.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся Microsoft, группировки Lazarus (Diamond Sleet, ZINC) и Andariel (Onyx Sleet, PLUTONIUM) активно используют уязвимость CVE-2023-42793. Хотя конечная цель атак пока неизвестна, специалисты предполагают, что она может заключаться в проведении атак на поставщиков программного обеспечения.
После взлома сервера TeamCity киберпреступники используют различные способы для развертывания вредоносного ПО и получения постоянного доступа к зараженной сети. В частности, Lazarus использует вредоносное ПО ForestTiger в качестве бэкдора для выполнения команд на взломанном сервере. ForestTiger позволяет хакерам иметь постоянный и скрытый доступ к системе. В свою очередь, Andariel создает административную учетную запись на взломанном сервере, которая позволяет собирать системную информацию и выполнять команды.
Компания Microsoft поделилась более подробной технической информацией о всех выявленных видах атак, включая индикаторы компрометации.
Корпорация Microsoft предупреждает, что северокорейские хакерские группы Lazarus и Andariel эксплуатируют уязвимость в серверах TeamCity для развертывания вредоносного ПО с целью компрометации цепочки поставок программного обеспечения.
TeamCity – это сервер непрерывной интеграции и развертывания, который организации используют в рамках своей инфраструктуры разработки ПО.
В сентябре TeamCity Для просмотра ссылки Войди
Согласно Для просмотра ссылки Войди
После взлома сервера TeamCity киберпреступники используют различные способы для развертывания вредоносного ПО и получения постоянного доступа к зараженной сети. В частности, Lazarus использует вредоносное ПО ForestTiger в качестве бэкдора для выполнения команд на взломанном сервере. ForestTiger позволяет хакерам иметь постоянный и скрытый доступ к системе. В свою очередь, Andariel создает административную учетную запись на взломанном сервере, которая позволяет собирать системную информацию и выполнять команды.
Компания Microsoft поделилась более подробной технической информацией о всех выявленных видах атак, включая индикаторы компрометации.
- Источник новости
- www.securitylab.ru
