APT29 Ligado ao SVR Russo Mira em Servidores TeamCity da JetBrains em Ataques Contínuos
14 de Dezembro de 2023

Atores de ameaça afiliados ao Serviço de Inteligência Estrangeira Russo (SVR) têm como alvo servidores JetBrains TeamCity não corrigidos em ataques generalizados desde setembro de 2023.

Essa atividade foi vinculada a um grupo de estado-nação conhecido como APT29, que também é acompanhado como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anteriormente Nobelium) e The Dukes.

Ele é notável pelo ataque à cadeia de suprimentos que visou a SolarWinds e seus clientes em 2020.

"No entanto, o SVR tem sido observado usando o acesso inicial obtido pela exploração do TeamCity CVE para escalar seus privilégios, mover-se lateralmente, implantar backdoors adicionais e tomar outras medidas para garantir acesso persistente e de longo prazo aos ambientes de rede comprometidos", disseram as agências de cibersegurança da Polônia, Reino Unido e EUA.

A vulnerabilidade em questão é a CVE-2023-42793 (pontuação CVSS: 9.8), uma falha de segurança crítica que poderia ser utilizada por atacantes não autenticados para atingir a execução remota de código nos sistemas afetados.

Desde então, veio sob exploração ativa por grupos de hackers, incluindo aqueles associados à Coreia do Norte, para a entrega de malware.

"A exploração do TeamCity geralmente resultava em execução de código com altos privilégios, concedendo ao SVR uma posição vantajosa no ambiente de rede", observaram as agências.

"Se comprometido, o acesso a um servidor TeamCity forneceria aos atores maliciosos acesso ao código fonte do desenvolvedor de software, certificados de assinatura e a capacidade de subverter processos de compilação e implantação de software - acesso que um ator malicioso poderia usar para realizar operações na cadeia de suprimentos."

Um acesso inicial bem-sucedido é seguido tipicamente por reconhecimento, escalada de privilégios, movimento lateral e exfiltração de dados, ao mesmo tempo que toma medidas para evitar a detecção usando uma ferramenta de código aberto chamada EDRSandBlast.

O objetivo final dos ataques é implantar um backdoor codinome GraphicalProton que funciona como um carregador para entregar payloads.

GraphicalProton, também conhecido como VaporRage, utiliza o OneDrive como um canal primário de comando e controle (C2), com o Dropbox atuando como um mecanismo de fallback.

Ele tem sido usado pelo ator de ameaça como parte de uma campanha em andamento chamada Diplomatic Orbiter que visa agências diplomáticas em todo o mundo.

Cerca de 100 dispositivos localizados nos EUA, Europa, Ásia e Austrália teriam sido comprometidos como resultado do que se suspeita serem ataques oportunistas.

Os alvos da campanha incluem uma associação de comércio de energia; empresas que fornecem software para cobrança, dispositivos médicos, atendimento ao cliente, monitoramento de funcionários, gestão financeira, marketing, vendas e video games; bem como empresas de hospedagem, fabricantes de ferramentas e pequenas e grandes empresas de TI.

A divulgação acontece enquanto a Microsoft revelava o assalto multi-facetado da Rússia ao setor agrícola da Ucrânia entre junho e setembro de 2023 para penetrar em redes, exfiltrar dados e implementar malware destrutivo como o SharpWipe (também conhecido como WalnutWipe).

As intrusões foram vinculadas a dois grupos de estado-nação codinome Aqua Blizzard (anteriormente Actinium) e Seashell Blizzard (anteriormente Iridium), respectivamente.

Seashell Blizzard também foi observado tirando proveito do software Microsoft Office pirateado abrigando o backdoor DarkCrystalRAT (também conhecido como DCRat) para obter acesso inicial, usando-o posteriormente para baixar um payload de segunda etapa chamado Shadowlink que se disfarça como Microsoft Defender, mas, na verdade, instala um serviço TOR para acesso remoto furtivo.

"Midnight Blizzard adotou uma abordagem de tudo ou nada, usando pulverizador de senha, credenciais adquiridas de terceiros, campanhas de engenharia social convincentes via Teams e abuso de serviços em nuvem para infiltrar-se em ambientes em nuvem", disse a gigante da tecnologia.

A Microsoft destacou ainda um ator de influência afiliada à Rússia, chamado Storm-1099 (também conhecido como Doppelganger), por realizar operações de influência pró-Rússia sofisticadas contra apoiadores internacionais da Ucrânia desde a primavera de 2022.

Outros esforços de influência incluem a falsificação de mídia mainstream e edição enganosa de vídeos de celebridades compartilhados no Cameo para propagar conteúdo de vídeo anti-Ucrânia e denegrir o presidente Volodymyr Zelensky, alegando falsamente que ele sofre de problemas de abuso de substâncias, destacando os esforços contínuos para distorcer as percepções globais da guerra.

"Esta campanha marca uma abordagem inovadora dos atores pró-Rússia buscando promover a narrativa no espaço de informação online", disse a Microsoft.

"Os operadores cibernéticos e de influência russos demonstraram adaptabilidade ao longo da guerra na Ucrânia."

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...