导 读
美国、波兰和英国的政府机构周三表示,俄罗斯对外情报局 (SVR) 一直在利用今年早些时候捷克软件巨头 JetBrains 的一款热门产品中暴露的一个关键漏洞。
官员们表示,在发现数百台受感染的设备后,他们已通知(https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a)美国、欧洲、亚洲和澳大利亚的数十家公司。
这些机构将这些攻击归咎于被称为 APT29 的俄罗斯SVR黑客——网络安全研究人员也将其追踪为 CozyBear 或 Midnight Blizzard——并表示这场“大规模”攻击活动于 9 月份开始。
微软此前表示,朝鲜黑客在 9 月份利用了这个标记为 CVE-2023-42793 的漏洞。它影响了名为 TeamCity 的产品,开发人员使用该产品在发布之前测试和交换软件代码。
SVR 已被发现“使用通过利用 TeamCity CVE 收集的初始访问权限来升级其权限、横向移动、部署更多后门,并采取其他步骤来确保对受感染网络环境的持续和长期访问”。
一般来说,除了拥有未打补丁、可通过互联网访问的 JetBrains TeamCity 服务器之外,受害者类型不符合任何类型的模式或趋势,这导致人们认为 SVR 对这些受害者网络的利用本质上是机会主义的,并不一定是恶意的、有针对性的攻击。
受到攻击的组织包括能源贸易协会;提供计费、医疗设备、客户服务、员工监控、财务管理、营销、销售和视频游戏软件的公司;以及网络托管公司、工具制造商以及小型和大型 IT 公司。
据PRODRAFT 的研究人员称,JetBrains于 9 月 20 日发布了针对该关键漏洞的补丁,但随后发布的技术细节导致一系列勒索软件组织立即利用该补丁。超过 1,200 台未打补丁的服务器被发现容易受到该漏洞的影响。
该通报由 FBI、NSA、美国网络安全和基础设施安全局 (CISA)、波兰军事反情报局 (SKW)、波兰国家网络安全中心CERT (CERT.PL) 和英国国家网络安全中心 (NCSC) 发布。
他们警告说,对 TeamCity 服务器的访问将“让恶意攻击者能够访问该软件开发人员的源代码、签署证书以及破坏软件编译和部署流程的能力——攻击者可以进一步利用这些访问来进行供应链操作。”
该通报指出,SVR 此前利用SolarWinds 软件中的漏洞进行了类似的攻击,但并未以同样的方式利用其对 TeamCity 漏洞的访问权限。
周三的咨询报告(https://www.cisa.gov/sites/default/files/2023-12/aa23-347a-russian-foreign-intelligence-service-svr-exploiting-jetbrains-teamcity-cve-globally_0.pdf)中提出的主要担忧之一是,SVR 可能会从数十名使用 TeamCity 的软件开发人员的网络受到损害中受益。
虽然评估 SVR 尚未使用其对软件开发人员的访问权限来访问客户网络,并且可能仍处于运营的准备阶段,但访问这些公司网络为 SVR 提供了实现难以访问的机会。
任何拥有受影响系统但没有立即应用 JetBrains 补丁的组织都应该假设它们已受到损害并开始调查。
这些机构表示,他们发现 SVR 利用该漏洞窃取文件,从而深入了解受害者的操作系统,并使用多种技术“禁用或彻底杀死端点检测和响应 (EDR) 以及防病毒 (AV) 软件”。
SVR 黑客被发现使用多种定制和开源可用工具和后门。
他们表示:“FBI、CISA、NSA、SKW、CERT Polska 和 NCSC 评估了该活动的范围和不分青红皂白的目标对公共安全构成的威胁,并建议组织实施以下缓解措施,以改善组织的网络安全态势。”
这些机构指出,SVR 至少自 2013 年以来就有针对全球公共和私人组织网络的悠久历史。SVR 表现出“一种长期的目标模式,旨在收集并能够收集外国情报,对俄罗斯而言,广义概念涵盖外国政治、经济和军事信息;科学和技术; 和外国反情报组织信息。”
该咨询报告补充说,美国政府于 2016 年 12 月发布了一份报告,强调了 SVR 在美国政党在总统选举前的网络攻击行动中所扮演的角色——指的是民主党全国委员会网络遭到黑客攻击。
中央情报局当时告诉美国立法者,大多数机构认为 SVR 进行黑客攻击是为了帮助唐纳德·特朗普赢得总统职位。SVR还攻击了共和党全国委员会,但没有公布从其网络窃取的信息。
2020 年,黑客还利用定制恶意软件针对参与 COVID-19 疫苗开发的组织和能源公司。
根据该通报,SVR 的黑客目前参与了一项名为“外交轨道者”的活动,涉及针对外交机构的入侵,目标是世界各地的数十个大使馆。
微软官方X(原twitter)发布了自己关于 JetBrains 攻击的通知(https://twitter.com/MsftSecIntel/status/1734984089768165688),指出其之前关于与朝鲜政府有关的多个黑客组织利用该漏洞的警告。
这家科技巨头在调查中表示,发现 SVR 黑客使用 VaporRage 恶意软件。他们呼应了执法部门的建议,他们还看到了凭证盗窃、试图关闭防病毒工具以及更深入地访问受感染系统的行为
参考链接:https://therecord.media/russia-svr-exploiting-jetbrains-vulnerability
今日安全资讯速递
APT事件
Advanced Persistent Threat
黑客破坏了乌克兰 Kyivstar 电信公司的部分基础设施
https://therecord.media/hackers-damaged-kyivstar-functions-ukraine-telecom-cyberattack
美国、波兰和英国政府机构发现俄罗斯官方黑客组织利用 JetBrains 漏洞
https://therecord.media/russia-svr-exploiting-jetbrains-vulnerability
Volt Typhoon APT组织与无法消灭的 SOHO 路由器僵尸网络有关
https://www.securityweek.com/chinese-apt-volt-typhoon-linked-to-unkillable-soho-router-botnet/
一般威胁事件
General Threat Incidents
德国丰田称客户数据在勒索软件攻击中被盗
https://www.securityweek.com/toyota-germany-confirms-personal-information-stolen-in-ransomware-attack/
索尼正在调查针对 Insomniac Games 部门的潜在勒索软件攻击
https://therecord.media/sony-investigating-ransomware-insomniac-games
微软查获用于销售欺诈性 Outlook 帐户的域名
https://www.bleepingcomputer.com/news/microsoft/microsoft-seizes-domains-used-to-sell-fraudulent-outlook-accounts/
BazaCall 网络钓鱼诈骗者现在利用 Google 表单进行欺骗攻击
https://thehackernews.com/2023/12/bazacall-phishing-scammers-now.html
法国警方逮捕与 Hive 勒索软件有关的俄罗斯嫌疑人
https://www.bleepingcomputer.com/news/security/french-police-arrests-russian-suspect-linked-to-hive-ransomware/
漏洞事件
Vulnerability Incidents
Apache Struts 2 中发现新的严重 RCE 漏洞
https://thehackernews.com/2023/12/new-critical-rce-vulnerability.html
黑客正在使用公共 PoC 来利用 Apache Struts 的关键漏洞
https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-apache-struts-flaw-using-public-poc/
Atlassian 修复多个产品中的关键远程代码执行漏洞
https://www.csoonline.com/article/1257397/atlassian-patches-critical-remote-code-execution-vulnerabilities-in-multiple-products.html
微软在 12 月补丁日修复了 34 个 CVE 和 1 个0day漏洞
https://www.infosecurity-magazine.com/news/microsoft-fixes-34-cves-one-zero/
Chrome 120 更新修补高严重性漏洞
https://www.securityweek.com/chrome-120-update-patches-high-severity-vulnerabilities/
讲述普通人能听懂的安全故事