Os agentes de ameaças por trás do ransomware BianLian foram flagrados explorando falhas de segurança no software TeamCity da JetBrains para realizar seus ataques exclusivamente de extorsão.
De acordo com um novo relatório da GuidePoint Security, que respondeu a uma intrusão recente, o incidente "começou com a exploração de um servidor TeamCity, o que resultou na implantação de uma implementação PowerShell do backdoor Go da BianLian."
BianLian surgiu em junho de 2022, e desde então mudou exclusivamente para extorsão baseada em exfiltração após o lançamento de um decodificador em janeiro de 2023.
A cadeia de ataque observada pela empresa de segurança cibernética envolve a exploração de uma instância vulnerável do TeamCity usando
CVE-2024-27198
ou
CVE-2023-42793
para obter acesso inicial ao ambiente, seguida pela criação de novos usuários no servidor de build e execução de comandos maliciosos para pós-exploração e movimento lateral.
Atualmente, não está claro qual das duas falhas foi utilizada pelo agente de ameaças para infiltração.
Os atores de BianLian são conhecidos por implantarem um backdoor personalizado para cada vítima, escrito em Go, bem como descarregar ferramentas de desktop remoto como AnyDesk, Atera, SplashTop e TeamViewer.
O backdoor é rastreado pela Microsoft como BianDoor.
"Após várias tentativas fracassadas de executar seu backdoor Go padrão, o agente de ameaças mudou para viver da terra e usou uma implementação PowerShell de seu backdoor, que fornece uma funcionalidade quase idêntica à que eles teriam com seu backdoor Go", disseram os pesquisadores de segurança Justin Timothy, Gabe Renfro e Keven Murphy.
O backdoor PowerShell ofuscado ("web.ps1") é projetado para estabelecer um socket TCP para comunicação de rede adicional a um servidor controlado pelo ator, permitindo que os atacantes remotos realizem ações arbitrárias em um host infectado.
"O backdoor agora confirmado é capaz de se comunicar com o servidor [de comando e controle] e executar de forma assíncrona com base nos objetivos de pós-exploração do atacante remoto", disseram os pesquisadores.
A divulgação vem quando VulnCheck detalhou novos exploits de prova de conceito (PoC) para uma falha de segurança crítica que afeta o Atlassian Confluence Data Center e Confluence Server (
CVE-2023-22527
) que poderiam levar à execução de código remoto de maneira sem arquivos e carregar o web shell Godzilla diretamente na memória.
A falha desde então foi utilizada para implantar ransomware C3RB3R, mineradores de criptomoedas e cavalos de Troia de acesso remoto nos últimos dois meses, indicando exploração generalizada em estado selvagem.
"Há mais de uma maneira de chegar a Roma", observou Jacob Baines da VulnCheck.
"Embora usar freemarker.template.utility.Execute pareça ser a maneira popular de explorar o
CVE-2023-22527
, outros caminhos mais furtivos geram indicadores diferentes."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...