Bedreigingsactoren aangesloten bij de Russische Buitenlandse Inlichtingendienst (SVR) hebben zich sinds september 2023 bij wijdverbreide aanvallen op niet-gepatchte JetBrains TeamCity-servers gericht.
De activiteit is gekoppeld aan een natiestaatgroep die bekend staat als APT29, dat ook wordt gevolgd als BlueBravo, Cloaked Ursa, Cosy Bear, Midnight Blizzard (voorheen Nobelium) en The Dukes. Het is opmerkelijk vanwege de supply chain-aanval gericht op SolarWinds en zijn klanten in 2020.
“Er is echter waargenomen dat de SVR de aanvankelijke toegang gebruikte die werd verkregen door misbruik te maken van de TeamCity CVE om zijn privileges te escaleren, lateraal te bewegen, extra achterdeurtjes in te zetten en andere stappen te ondernemen om persistente en langdurige toegang tot de gecompromitteerde netwerkomgevingen te garanderen,” Dat hebben cyberveiligheidsagentschappen uit Polen, Groot-Brittannië en de VS gezegd.
De kwetsbaarheid in kwestie is CVE-2023-42793 (CVSS-score: 9,8), een kritieke beveiligingsfout die door niet-geverifieerde aanvallers kan worden ingezet om code-uitvoering op afstand op getroffen systemen te bewerkstelligen. Sindsdien wordt het actief geëxploiteerd door hackploegeninclusief die geassocieerd met Noord-Korea, voor het leveren van malware.
“De exploitatie van TeamCity resulteerde meestal in het uitvoeren van code met hoge rechten, waardoor de SVR een voordelige voet aan de grond kreeg in de netwerkomgeving”, merkten de agentschappen op.
“Als de toegang tot een TeamCity-server wordt aangetast, kunnen kwaadwillende actoren toegang krijgen tot de broncode van de softwareontwikkelaar, certificaten ondertekenen en de mogelijkheid hebben om softwarecompilatie- en -implementatieprocessen te ondermijnen – toegang die een kwaadwillende actor verder kan gebruiken om supply chain-operaties uit te voeren.”
Een succesvolle initiële toegang wordt doorgaans gevolgd door verkenning, escalatie van bevoegdheden, laterale verplaatsing en data-exfiltratie, terwijl tegelijkertijd stappen worden ondernomen om detectie te omzeilen met behulp van een open-source tool genaamd EDRSandBlast. Het uiteindelijke doel van de aanvallen is het inzetten van een achterdeur met de codenaam GraphicalProton die functioneert als een lader om extra ladingen af te leveren.
GraphicalProton, ook bekend als VaporRage, maakt gebruik van OneDrive als primair command-and-control (C2) communicatiekanaal, waarbij Dropbox wordt behandeld als een terugvalmechanisme. Het is door de bedreigingsacteur gebruikt als onderdeel van een voortdurende campagne genaamd Diplomatic Orbiter, die diplomatieke agentschappen over de hele wereld uitkiest.
Er wordt gezegd dat maar liefst 100 apparaten in de VS, Europa, Azië en Australië zijn gecompromitteerd als gevolg van vermoedelijk opportunistische aanvallen.
Doelstellingen van de campagne zijn onder meer een energiehandelsvereniging; bedrijven die software leveren voor facturering, medische apparatuur, klantenservice, monitoring van werknemers, financieel beheer, marketing, verkoop en videogames; evenals hostingbedrijven, gereedschapsfabrikanten en kleine en grote IT-bedrijven.
De onthulling komt op het moment dat Microsoft de veelzijdige aanval van Rusland op de Oekraïense landbouwsector tussen juni en september 2023 onthulde om netwerken binnen te dringen, gegevens te exfiltreren en destructieve malware zoals SharpWipe (ook bekend als WalnutWipe) in te zetten.
De inbraken zijn terug te voeren op twee natiestatengroepen met respectievelijk de codenaam Aqua Blizzard (voorheen Actinium) en Seashell Blizzard (voorheen Iridium).
Er is ook waargenomen dat Seashell Blizzard misbruik maakt van illegale Microsoft Office-software die de DarkCrystalRAT (ook bekend als DCRat)-achterdeur herbergt om initiële toegang te krijgen, en deze vervolgens gebruikt om een tweede fase-payload te downloaden genaamd Shadowlink die zich voordoet als Microsoft Defender, maar in werkelijkheid een TOR-service voor heimelijke toegang op afstand.
“Midnight Blizzard hanteerde een keukenaanpak, met behulp van wachtwoordspray, inloggegevens verkregen van derden, geloofwaardige social engineering-campagnes via Teams en misbruik van clouddiensten om cloudomgevingen te infiltreren”, aldus de technologiegigant.
Microsoft benadrukte verder een aan Rusland gelieerde invloedsacteur die het Storm-1099 (ook bekend als Doppelganger) noemt, voor het uitvoeren van geavanceerde pro-Russische invloedsoperaties gericht op internationale aanhangers van Oekraïne sinds het voorjaar van 2022.
Andere inspanningen om invloed uit te oefenen omvatten het vervalsen van reguliere media en het op bedrieglijke wijze bewerken van video’s van beroemdheden die op Cameo worden gedeeld om anti-Oekraïense video-inhoud te propageren en president Volodymyr Zelenski te belasteren door ten onrechte te beweren dat hij aan middelenmisbruik lijdt, wat de voortdurende inspanningen onderstreept om de mondiale perceptie van de oorlog te verdraaien.
“Deze campagne markeert een nieuwe aanpak van pro-Russische actoren die het verhaal in de online informatieruimte willen bevorderen”, aldus Microsoft. “Russische cyber- en invloedsoperatoren hebben gedurende de oorlog tegen Oekraïne blijk gegeven van aanpassingsvermogen.”
Update
Na de publicatie van het verhaal deelde Yaroslav Russkih, hoofd beveiliging bij JetBrains, de onderstaande verklaring met The Hacker News:
“We werden eerder dit jaar over deze kwetsbaarheid geïnformeerd en hebben deze onmiddellijk opgelost in de TeamCity 2023.05.4-update, die op 18 september 2023 werd uitgebracht. Sindsdien hebben we rechtstreeks of via openbare berichten contact opgenomen met onze klanten om hen te motiveren hun software te updaten We hebben ook een speciale beveiligingspatch uitgebracht voor organisaties die oudere versies van TeamCity gebruiken en die ze niet op tijd konden upgraden. Daarnaast hebben we de beste beveiligingspraktijken gedeeld om onze klanten te helpen de beveiliging van hun build-pijplijnen te versterken. Volgens de statistieken die we hebben, gebruikt minder dan 2% van de TeamCity-instanties nog steeds ongepatchte software, en we hopen dat hun eigenaren deze onmiddellijk patchen. Deze kwetsbaarheid treft alleen de on-premises exemplaren van TeamCity, terwijl onze cloudversie niet werd getroffen. “
