Volgens Microsoft maken Noord-Koreaanse bedreigingsactoren actief misbruik van een kritiek beveiligingslek in JetBrains TeamCity om op opportunistische wijze kwetsbare servers te doorbreken.
De aanvallen, die de exploitatie van CVE-2023-42793 (CVSS-score: 9,8) met zich meebrengen, worden toegeschreven aan Diamond Sleet (ook bekend als Labyrinth Chollima) en Onyx Sleet (ook bekend als Andariel of Silent Chollima).
Het is vermeldenswaard dat beide clusters van dreigingsactiviteiten deel uitmaken van de beruchte Noord-Koreaanse natiestatelijke actor die bekend staat als Lazarus Group.
In een van de twee aanvalspaden die door Diamond Sleet worden gebruikt, wordt een succesvolle inbreuk op TeamCity-servers gevolgd door de inzet van een bekend implantaat genaamd ForestTiger vanuit een legitieme infrastructuur die eerder door de bedreigingsacteur was aangetast.
Een tweede variant van de aanvallen maakt gebruik van de aanvankelijke basis om een kwaadaardige DLL (DSROLE.dll, ook bekend als RollSling of Version.dll of FeedLoad) op te halen die wordt geladen door middel van een techniek die DLL-zoekopdrachtkaping wordt genoemd om een volgende fase uit te voeren payload of een trojan voor externe toegang (RAT).
Microsoft zei dat het er getuige van was dat de tegenstander in bepaalde gevallen een combinatie van tools en technieken uit beide aanvalsreeksen gebruikte.
De inbraken die door Onyx Sleet zijn opgezet, gebruiken daarentegen de toegang die wordt geboden door de exploitatie van de JetBrains TeamCity-bug om een nieuw gebruikersaccount met de naam krtbgt aan te maken dat waarschijnlijk bedoeld is om het Kerberos Ticket Granting Ticket na te bootsen.
“Nadat het account is aangemaakt, voegt de bedreigingsacteur het toe aan de Local Administrators Group via internetgebruik”, aldus Microsoft. “De bedreigingsactor voert ook verschillende systeemdetectieopdrachten uit op gecompromitteerde systemen.”
De aanvallen leidden vervolgens tot de inzet van een aangepaste proxytool genaamd HazyLoad, die helpt een blijvende verbinding tot stand te brengen tussen de gecompromitteerde host en de door de aanvaller gecontroleerde infrastructuur.
Een andere opmerkelijke actie na de compromittering is het gebruik van het door de aanvaller gecontroleerde krtbgt-account om in te loggen op het gecompromitteerde apparaat via het Remote Desktop Protocol (RDP) en het beëindigen van de TeamCity-service in een poging toegang door andere bedreigingsactoren te voorkomen.
Door de jaren heen heeft de Lazarus-groep zichzelf gevestigd als een van de meest verderfelijke en geavanceerde geavanceerde persistente dreigingsgroepen (APT-groepen) die momenteel actief zijn, waarbij ze in gelijke mate financiële misdaad en spionageaanvallen orkestreren via overvallen op cryptocurrency en aanvallen op de toeleveringsketen.
“Wij geloven zeker dat het Noord-Koreaanse hacken van cryptocurrency rond infrastructuur, over de hele wereld – inclusief in Singapore, Vietnam en Hong Kong – een belangrijke bron van inkomsten is voor het regime dat wordt gebruikt om de voortgang van het raketprogramma en de veel grotere aantal lanceringen dat we het afgelopen jaar hebben gezien’, zei de Amerikaanse plaatsvervangend nationaal veiligheidsadviseur Anne Neuberger.
De ontwikkeling komt op het moment dat het AhnLab Security Emergency Response Center (ASEC) het gebruik door de Lazarus Group van malwarefamilies zoals Volgmer en Scout, die fungeren als kanaal voor achterdeurtjes voor het controleren van de geïnfecteerde systemen, gedetailleerd heeft beschreven.
“De Lazarus-groep is een van de zeer gevaarlijke groepen die wereldwijd zeer actief zijn en verschillende aanvalsvectoren gebruiken, zoals spear-phishing en supply chain-aanvallen”, zei het Zuid-Koreaanse cyberbeveiligingsbedrijf, waarbij de hackers betrokken werden bij een andere campagne met de codenaam Operation Dream Magic. .
Dit omvat het opzetten van watering hole-aanvallen door het invoegen van een frauduleuze link in een specifiek artikel op een niet-gespecificeerde nieuwswebsite die beveiligingsfouten in INISAFE- en MagicLine-producten bewapent om de infecties te activeren, een tactiek die voorheen werd geassocieerd met de Lazarus Group.
Als verder teken van de evoluerende offensieve programma’s van Noord-Korea heeft ASEC een andere bedreigingsacteur, bekend als Kimsuky (ook bekend als APT43), toegeschreven aan een nieuwe reeks spear-phishing-aanvallen waarbij de BabyShark-malware wordt gebruikt om een bonte reeks externe desktoptools en VNC-software te installeren. (dat wil zeggen, TightVNC en TinyNuke) om slachtoffersystemen te bemachtigen en informatie te exfiltreren.
