Schützen Sie Ihre Server: JetBrains TeamCity-Fehlerwarnung
In den letzten Tagen hat Microsoft eine Warnung über eine JetBrains TeamCity-Schwachstelle die von nordkoreanischen Bedrohungsakteuren ausgenutzt wird. Diese Angriffe, die mit der berüchtigten Lazarus-Gruppe in Verbindung stehen, stellen ein erhebliches Risiko für Server dar. In diesem Artikel gehen wir auf die Einzelheiten dieser Bedrohung ein und, was noch wichtiger ist, wir geben Ihnen praktische Schritte an die Hand, mit denen Sie Ihre Server schützen können vor potenziellen Angriffen.
Verstehen des JetBrains TeamCity-Fehlers
Der Bericht von Microsoft zeigt, dass nordkoreanische Bedrohungsakteure, insbesondere Diamond Sleet (auch bekannt als Labyrinth Chollima) und Onyx Sleet (auch bekannt als Andariel oder Silent Chollima), aktiv eine kritische Sicherheitslücke ausnutzen, die als CVE-2023-42793. Diese Sicherheitslücke hat einen hohen CVSS-Wert (Common Vulnerability Scoring System) von 9,8, was auf ihre Schwere hinweist.
Sowohl Diamond Sleet als auch Onyx Sleet gehören zur Lazarus Group, einem berüchtigten nordkoreanischen Akteur, der für seine hartnäckigen und ausgeklügelten Cyberangriffe bekannt ist. Diese Bedrohungsakteure machen sich die Sicherheitslücke in JetBrains TeamCity aus, um in anfällige Server einzudringen und so Unternehmen zu gefährden.
Zwei Angriffswege
Es gibt zwei Angriffswege, die von diesen Bedrohungsakteuren genutzt werden, wobei jeder seinen eigenen Ansatz hat. Es ist wichtig, diese Wege zu verstehen, um Ihre Server besser zu schützen.
Der Ansatz von Diamond Sleet
Beim ersten von Diamond Sleet genutzten Angriffspfad kompromittiert der Angreifer erfolgreich die TeamCity-Server. Nach diesem Einbruch wird ein bekanntes Implantat namens ForestTiger eingesetzt. Besonders besorgniserregend ist, dass dieses Implantat von einer legitimen Infrastruktur geladen wird, die der Angreifer zuvor kompromittiert hat. Diese Technik erschwert die Entdeckung des Eindringens, weshalb sich JetBrains TeamCity-Schwachstelle als äußerst gefährlich erweisen kann. Aus diesem Grund kann sich die JetBrains TeamCity-Schwachstelle als äußerst schädlich erweisen.
Die zweite Variante der Angriffe von Diamond Sleet ist ebenso besorgniserregend. Sie beinhaltet den Abruf einer bösartigen DLL (DSROLE.dll, auch bekannt als RollSling oder Version.dll oder FeedLoad). Diese DLL wird mit einer Technik geladen, die als DLL-Suchreihenfolge-Hijacking bekannt ist. Dadurch kann der Bedrohungsakteur eine weitere Nutzlast ausführen oder einen Fernzugriffstrojaner (RAT) einsetzen. Microsoft hat Fälle beobachtet, in denen die Bedrohungsakteure Tools und Techniken aus beiden Angriffssequenzen kombiniert haben, wodurch sie noch gefährlicher wurden.
Onyx Sleet's Strategie
Onyx Sleet verfolgt einen anderen Ansatz. Nach der Ausnutzung des JetBrains TeamCity-Patcherstellt dieser Bedrohungsakteur ein neues Benutzerkonto namens "krtbgt". Dieses Konto dient wahrscheinlich dazu, das Kerberos Ticket Granting Ticket zu imitieren. Um die Sache noch schlimmer zu machen, fügt der Bedrohungsakteur dieses Konto mit dem Befehl "net use" zur Gruppe der lokalen Administratoren hinzu.
Sobald dies geschehen ist, führt der Bedrohungsakteur Systemerkennungsbefehle auf den kompromittierten Systemen aus. Dies führt zur Bereitstellung eines benutzerdefinierten Proxy-Tools namens "HazyLoad". Dieses Tool stellt eine dauerhafte Verbindung zwischen dem kompromittierten Server und der Infrastruktur des Angreifers her.
Eine weitere besorgniserregende Aktion nach der Kompromittierung ist die Verwendung des vom Angreifer kontrollierten Kontos "krtbgt", um sich über das Remote-Desktop-Protokoll (RDP) anzumelden und den TeamCity-Dienst zu beenden. Dies geschieht, um den Zugriff durch andere Bedrohungsakteure zu verhindern, was die fortgeschrittene und aggressive Natur dieser Angriffe unterstreicht.
Die berüchtigte Geschichte der Lazarus-Gruppe
Im Laufe der Jahre hat die Lazarus-Gruppe als eine der bösartigsten und raffiniertesten APT-Gruppen (Advanced Persistent Threats) weltweit bekannt geworden. Sie haben ein breites Spektrum an Angriffen durchgeführt, darunter Finanzkriminalität und Spionage. Diese Angriffe umfassen Raubüberfälle auf Kryptowährungen und Verstöße gegen die Lieferkette, wobei die gestohlenen Gelder häufig zur Finanzierung ihres Raketenprogramms und anderer Aktivitäten verwendet werden.
Die stellvertretende nationale Sicherheitsberaterin der USA, Anne Neuberger, hob die Beteiligung der Gruppe am Hacken von Kryptowährungsinfrastrukturen auf der ganzen Welt hervor, was das finanzielle Motiv hinter ihren Aktionen weiter unterstreicht.
Die Ergebnisse von AhnLab
Das AhnLab Security Emergency Response Center (ASEC) hat auch die Verwendung von Malware-Familien wie Volgmer und Scout durch die Lazarus Group beschrieben, die als Hintertüren zur Kontrolle infizierter Systeme dienen. Die Lazarus Group setzt verschiedene Angriffsvektoren ein, darunter Spear-Phishing und Angriffe über die Lieferkette. Diese Taktiken wurden mit einer anderen Kampagne mit dem Codenamen "Operation Dream Magic" in Verbindung gebracht, die Watering-Hole-Angriffe zur Ausnutzung von Sicherheitslücken in Produkten wie INISAFE und MagicLine beinhaltet.
Absicherung von JetBrains TeamCity
Jetzt wollen wir uns darauf konzentrieren, was Sie tun können, um Ihre Server vor diesen Hackern zu schützen Ausnutzung von TeamCity-Schwachstellen. Microsoft hat eine Reihe von empfohlenen Abhilfemaßnahmen bereitgestellt:
- Wenden Sie JetBrains-Updates an: Stellen Sie sicher, dass Sie die von JetBrains veröffentlichten Updates oder Abhilfemaßnahmen zur Behebung der Sicherheitslücke CVE-2023-42793 anwenden. Ihre Software auf dem neuesten Stand zu halten, ist ein grundlegender Schritt, um das Risiko eines Angriffs zu verringern.
- Regel zur Verringerung der Angriffsfläche: Aktivieren Sie die Regel "Ausführbare Dateien nur dann ausführen, wenn sie ein Prävalenz-, Alters- oder Vertrauenslistenkriterium erfüllen", um die Sicherheit Ihres Servers weiter zu erhöhen.
- Untersuchen Sie Indikatoren für eine Kompromittierung (IoC): Untersuchen Sie anhand der bereitgestellten Kompromittierungsindikatoren, ob diese in Ihrer Umgebung vorhanden sind. Dieser Schritt kann Ihnen helfen, ein mögliches Eindringen zu bewerten und Korrekturmaßnahmen zu ergreifen.
- Eingehenden Verkehr blockieren: Ziehen Sie in Erwägung, den eingehenden Datenverkehr von den in der IoC-Tabelle angegebenen IP-Adressen zu blockieren. Diese proaktive Maßnahme kann dazu beitragen, unbefugten Zugriff auf Ihre Server zu verhindern.
- Sicherer DLL-Suchmodus: Stellen Sie sicher, dass "Sicherer DLL-Suchmodus" eingestellt ist. Dies hilft bei der Vermeidung von DLL-bezogenen Schwachstellen.
- Sofortige Maßnahmen: Wenn Sie bösartige Aktivitäten auf Ihrem Server vermuten, ergreifen Sie sofortige Maßnahmen. Isolieren Sie das angegriffene System und setzen Sie Anmeldedaten und Token zurück. Dies ist entscheidend, um die Kontrolle wiederzuerlangen und den potenziellen Schaden zu minimieren.
- Verwenden Sie Microsoft Defender Antivirus: Aktivieren Sie Microsoft Defender Antivirus mit Schutz aus der Cloud und automatischer Probenübermittlung. Diese erweiterten Funktionen nutzen künstliche Intelligenz und maschinelles Lernen, um neue und unbekannte Bedrohungen schnell zu erkennen und zu stoppen.
- Untersuchen Sie auf seitliche Bewegungen: Untersuchen Sie die Zeitleiste des Geräts auf Anzeichen von Seitwärtsbewegungen mit kompromittierten Konten. Suchen Sie nach zusätzlichen Tools, die Angreifer möglicherweise zurückgelassen haben, um weiteren unbefugten Zugriff zu ermöglichen.
Schlussfolgerung
Die von nordkoreanischen Hackern ausgehende Bedrohung, die die TeamCity-Sicherheitslücke ist ernst und erfordert sofortige Aufmerksamkeit. Durch das Verständnis der Angriffsmethoden, die Umsetzung der empfohlenen Abhilfemaßnahmen und die Einführung von robuste Cybersicherheitsmaßnahmenkönnen Sie das Risiko für Ihre Server erheblich verringern. Cybersicherheit ist ein ständiger Kampf, und Wachsamkeit und Vorbereitung sind der Schlüssel zum Schutz Ihrer wertvollen Ressourcen vor Cyberbedrohungen.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Sicherheitsangelegenheiten.