Microsoft met en garde contre des attaques nord-coréennes exploitant la faille TeamCity de JetBrains
- par Kenan
- , le 21 octobre 2023
- 0 h 43 min
des informations quotidiennes sur la cybersécurité directement dans votre boîte de réception.
Selon Microsoft, des acteurs nord-coréens exploitent activement une faille de sécurité critique dans JetBrains TeamCity pour pénétrer de manière opportuniste dans des serveurs vulnérables.
Les attaques, qui impliquent l’exploitation de CVE-2023-42793 (score CVSS : 9.8), ont été attribuées à Diamond Sleet (alias Labyrinth Chollima) et Onyx Sleet (alias Andariel ou Silent Chollima). Il convient de noter que ces deux groupes de menaces font partie du célèbre acteur étatique nord-coréen connu sous le nom de Lazarus Group.
Dans l’une des deux voies d’attaque employées par Diamond Sleet, une compromission réussie des serveurs TeamCity est suivie par le déploiement d’un implant connu appelé ForestTiger à partir d’une infrastructure légitime précédemment compromise par l’acteur de la menace. Une deuxième variante de l’attaque exploite le point d’ancrage initial pour récupérer une DLL malveillante (DSROLE.dll alias RollSling ou Version.dll ou FeedLoad) qui est chargée au moyen d’une technique appelée détournement de l’ordre de recherche de la DLL pour exécuter soit une charge utile à l’étape suivante, soit un cheval de Troie d’accès à distance (RAT). Microsoft a déclaré avoir vu l’adversaire utiliser dans certains cas une combinaison d’outils et de techniques provenant des deux séquences d’attaque.
Les intrusions montées par Onyx Sleet, en revanche, utilisent l’accès offert par l’exploitation du bogue TeamCity de JetBrains pour créer un nouveau compte utilisateur nommé krtbgt qui est probablement destiné à usurper l’identité du Kerberos Ticket Granting Ticket. « Après avoir créé le compte, l’auteur de la menace l’ajoute au groupe des administrateurs locaux par le biais d’une utilisation nette », a déclaré Microsoft. « L’acteur de la menace exécute également plusieurs commandes de découverte du système sur les systèmes compromis. Les attaques conduisent ensuite au déploiement d’un outil proxy personnalisé, baptisé HazyLoad, qui permet d’établir une connexion persistante entre l’hôte compromis et l’infrastructure contrôlée par l’attaquant. Une autre action notable après la compromission est
La cybersécurité est importante pour tout le monde. Voici votre
La cybersécurité est importante pour tous. Voici votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.