BianLian Threat Actors Exploiting JetBrains TeamCity Flaws in Ransomware Attacks
2024/03/11 TheHackerNews — BianLian ランサムウェアを操る脅威アクターが、JetBrains TeamCity セキュリティ欠陥を悪用して、恐喝のみを目的とした攻撃を行っていることが確認されている。最近の侵入インシデントを調査した GuidePoint Security のレポートによると、このインシデントは、TeamCity サーバーの悪用から始まり、最終的には BianLian の Go バックドアの PowerShell 実装が展開されという。
BianLian は 2022年6月に出現し、2023年1月の復号化ツールのリリース以降は、もっぱら流出ベースの恐喝に軸足を移している。
GuidePoint Security が観測した攻撃チェーンは、CVE-2024-27198/CVE-2023-42793 の悪用による、脆弱な TeamCity インスタンスの操作により、環境への初期アクセスを獲得する。そして、ビルド・サーバに新しいユーザーを作成して、悪意のコマンドを実行することで、悪用後の横移動を行っている。
この2つの脆弱性のうち、脅威アクターによる侵入のために、どちらが武器化されたのかは、現時点では明らかになっていない。
BianLian を用いる攻撃者は、各被害者に合わせた Go カスタム・バックドアを埋め込むだけでなく、AnyDesk/Atera/SplashTop/TeamViewer などの、リモート・デスクトップ・ツールをドロップすることが知られている。このバックドアは、Microsoft により BianDoor として追跡されている。
セキュリティ研究者の Justin Timothy/Gabe Renfro/Keven Murphy は、「この脅威アクターは、標準的な Go バックドアの実行に何度も失敗した後に、その場しのぎにピボットし、Go バックドアとほぼ同じ機能を提供するバックドアの、PowerShell 実装を活用していた」と述べている。
難読化された PowerShell バックドア “web.ps1” は、アクターが制御するサーバへの追加のネットワーク通信のために、TCP ソケットを確立するよう設計されている。それにより、リモートの攻撃者は、感染させたホスト上で任意のアクションを実行できるようになる。
研究者たちは、「現時点で確認されているバックドアは、C2 (Command and Control) サーバと通信し、リモート攻撃者のポスト・エクスプロイト後の目的に基づき、非同期で実行されている」と述べている。
また、Atlassian Confluence Data Center/Confluence Server の深刻な脆弱性 CVE-2023-22527 に対する、新たな PoC (Proof-of-concept) エクスプロイト・コードも出回っている。この PoC は、ファイルレスでリモート・コードを実行し、Godzilla Web シェルをメモリに、ダイレクトにロードする可能性があることが、VulnCheck によって明らかになった。
この脆弱性は、過去2ヶ月間にわたって、C3RB3R ランサムウェア/暗号通貨マイナー/RAT (Remote Access Trojan) の展開のために武器化されている。つまり、この脆弱性が野放し状態で、大規模に悪用されていることが示唆される。
VulnCheck の Jacob Baines は、「ローマに通じる道は1つではない。freemarker.template.utility.Execute を使用することは、CVE-2023-22527 を悪用する一般的な方法であるように見えるが、その他の高ステルス的なパスは、異なる指標を生成する」と指摘している。
JetBrains TeamCity の脆弱性 CVE-2024-27198 ですが、ついにランサムウェア攻撃が始まってしまったようです。2024/03/04 の「JetBrains TeamCity の脆弱性 CVE-2024-27198:PoC エクスプロイトが提供された」にあるように、PoC がでてきているので、予想された展開と言えるでしょう。ご利用のチームは、いま一度、ご確認ください。よろしければ、TeamCity で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.