Home Sociedad Atacantes norcoreanos explotan la vulnerabilidad crítica de CI/CD

Atacantes norcoreanos explotan la vulnerabilidad crítica de CI/CD

Actores de amenazas norcoreanos están explotando activamente una vulnerabilidad crítica en una aplicación de integración/despliegue continuo (CI/CD) utilizada en el desarrollo de software, advirtió Microsoft.

El gigante tecnológico dijo que ha observado a dos actores-estado-nación de Corea del Norte, Diamond Sleet y Onyx Sleet, explotando la vulnerabilidad de ejecución remota de código, CVE-2023-42793, desde principios de octubre de 2023.

La falla, que tiene una clasificación de gravedad CVSS de 9,8, afecta a varias versiones del servidor JetBrains TeamCity utilizado por organizaciones para DevOps y otras actividades de software.

Microsoft señaló que Diamond Sleet y Onyx Sleet ya habían llevado a cabo con éxito ataques a la cadena de suministro de software infiltrándose en entornos de construcción. Por lo tanto, evalúa que esta actividad representa “un riesgo significativamente alto” para las organizaciones afectadas.

Según el perfil de las organizaciones afectadas por estas intrusiones hasta el momento, los investigadores creen que los atacantes pueden estar comprometiendo de manera oportunista los servidores vulnerables. “Sin embargo, ambos actores han implementado malware y herramientas y utilizado técnicas que pueden permitir el acceso persistente a los entornos de las víctimas”, se lee en el aviso.

Microsoft destacó los diferentes enfoques de los dos actores de amenazas norcoreanos. Diamond Sleet se dirige principalmente a medios de comunicación, servicios de TI y entidades relacionadas con la defensa en todo el mundo con fines de espionaje, robo de datos, ganancias financieras y destrucción de redes.

Una vez que ha comprometido los servidores de TeamCity, el grupo implementa el malware ‘ForestTiger’ para ejecutar comandos en el servidor atacado. Otra ruta de ataque utilizada por Diamond Sleet aprovecha PowerShell en servidores comprometidos para descargar una DLL maliciosa de la infraestructura del atacante y llevar a cabo el secuestro del orden de búsqueda de las DLL.

Los principales objetivos de Onyx Sleet son organizaciones de servicios de TI y defensa en Corea del Sur, Estados Unidos e India. Ha desarrollado un conjunto de herramientas que le permiten establecer un acceso persistente a los entornos de las víctimas y pasar desapercibido.

Tras la explotación exitosa de la vulnerabilidad TeamCity, el grupo implementa una herramienta proxy conocida como HazyLoad para establecer una conexión persistente entre el host comprometido y la infraestructura controlada por el atacante.

Microsoft estableció una serie de acciones que las organizaciones que utilizan TeamCity deben tomar para prevenir y responder a estos ataques, que incluyen:

-Aplique la actualización 2023.05.4 de TeamCity que contiene una solución. También se ha creado un complemento para versiones anteriores de TeamCity (8.0+).

-Utilice herramientas antivirus para identificar y detener rápidamente amenazas nuevas y desconocidas

-Analice la lista de indicaciones de compromiso (IOC) de Microsoft para ayudar a investigar si los atacantes han comprometido su entorno.

-Bloquee el tráfico entrante de las IP especificadas en la lista IOC.

Si se descubre que se ha iniciado un código malicioso en un dispositivo, aísle inmediatamente el sistema y realice un restablecimiento de credenciales y tokens.

Investigue la línea de tiempo del dispositivo en busca de indicios de actividades de movimiento lateral utilizando una de las cuentas comprometidas.