Er is waargenomen dat de bedreigingsactoren achter de BianLian-ransomware beveiligingsfouten in de JetBrains TeamCity-software misbruiken om hun afpersingsaanvallen uit te voeren.
Volgens een nieuw rapport van GuidePoint Security, dat reageerde op een recente inbraak, begon het incident “met de exploitatie van een TeamCity-server, wat resulteerde in de inzet van een PowerShell-implementatie van BianLian’s Go-backdoor.”
BianLian ontstond in juni 2022 en heeft zich sindsdien uitsluitend gericht op op exfiltratie gebaseerde afpersing na de release van een decryptor in januari 2023.
De door het cyberbeveiligingsbedrijf waargenomen aanvalsketen omvat de exploitatie van een kwetsbare TeamCity-instantie met behulp van CVE-2024-27198 of CVE-2023-42793 om initiële toegang tot de omgeving te verkrijgen, gevolgd door het creëren van nieuwe gebruikers op de build-server en het uitvoeren van kwaadaardige opdrachten voor post-exploitatie en zijwaartse beweging.
Het is momenteel niet duidelijk welke van de twee tekortkomingen door de bedreigingsacteur als wapen zijn gebruikt voor infiltratie.
Het is bekend dat BianLian-acteurs een aangepaste achterdeur implanteren die is afgestemd op elk slachtoffer, geschreven in Go, en dat ze externe desktoptools zoals AnyDesk, Atera, SplashTop en TeamViewer laten vallen. De achterdeur wordt door Microsoft gevolgd als BianDoor.
“Na meerdere mislukte pogingen om hun standaard Go-achterdeur uit te voeren, schakelde de bedreigingsacteur over op het leven buiten het land en maakte gebruik van een PowerShell-implementatie van hun achterdeur, die een vrijwel identieke functionaliteit biedt als wat ze zouden hebben met hun Go-achterdeur,” Dat zeggen veiligheidsonderzoekers Justin Timothy, Gabe Renfro en Keven Murphy.
De versluierde PowerShell-achterdeur (“web.ps1”) is ontworpen om een TCP-socket tot stand te brengen voor extra netwerkcommunicatie met een door een actor bestuurde server, waardoor aanvallers op afstand willekeurige acties kunnen uitvoeren op een geïnfecteerde host.
“De nu bevestigde achterdeur kan communiceren met de [command-and-control] server en asynchroon uitgevoerd op basis van de post-exploitatiedoelstellingen van de externe aanvaller”, aldus de onderzoekers.
De onthulling komt op het moment dat VulnCheck gedetailleerde nieuwe proof-of-concept (PoC)-exploits heeft uitgevoerd voor een kritieke beveiligingsfout die gevolgen heeft voor het Atlassian Confluence Data Center en Confluence Server (CVE-2023-22527) en die zou kunnen leiden tot het op afstand uitvoeren van code op een bestandsloze manier en het laden van de Godzilla webshell rechtstreeks in het geheugen.
De fout is sindsdien als wapen gebruikt om C3RB3R-ransomware, cryptocurrency-mijnwerkers en trojans voor externe toegang in te zetten, wat duidt op wijdverbreide uitbuiting in het wild.
“Er is meer dan één manier om Rome te bereiken”, merkte Jacob Baines van VulnCheck op. “Hoewel het gebruik van freemarker.template.utility.Execute de populaire manier lijkt om CVE-2023-22527 te exploiteren, genereren andere meer heimelijke paden andere indicatoren.”
