ClickCease 서버를 보호하세요: JetBrains TeamCity 결함 경고

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

서버를 보호하세요: JetBrains TeamCity 결함 경고

와자핫 라자

2023년 10월 30일 TuxCare 전문가 팀

최근 뉴스에서 Microsoft는 다음과 같은 JetBrains TeamCity 결함 에 대한 경고를 발표했습니다. 악명 높은 라자루스 그룹과 연관된 이 공격은 서버에 심각한 위험을 초래합니다. 이 글에서는 이 위협의 세부 사항을 살펴보고, 더 중요한 것은 잠재적인 침해로부터 서버를 보호할 수 있는 실행 가능한 단계를 제공하는 것입니다. 잠재적 침해.

 

JetBrains TeamCity 결함 이해


마이크로소프트의 보고서에 따르면 북한의 위협 행위자, 특히 다이아몬드 진눈깨비(일명 미로 촐리마)와 오닉스 진눈깨비(일명 안다리엘 또는 사일런트 촐리마)가 다음과 같은 중요한 보안 취약점을 적극적으로 악용하고 있습니다.
CVE-2023-42793. 이 취약점은 9.8의 높은 CVSS(공통 취약점 점수 시스템) 점수를 기록하여 그 심각성을 나타냅니다.

다이아몬드 진눈깨비와 오닉스 진눈깨비는 모두 지속적이고 정교한 사이버 공격으로 악명 높은 북한 국가 조직인 라자루스 그룹에 소속되어 있습니다. 이 위협 행위자들은 취약점을 이용하고 있습니다. 의 취약점을 악용하여 취약한 서버에 침입하여 기업을 위험에 빠뜨리고 있습니다.


두 가지 공격 경로


이러한 위협 행위자가 사용하는 공격 경로에는 두 가지가 있으며, 각각 고유한 접근 방식이 있습니다. 서버를 더 효과적으로 방어하려면 이러한 경로를 이해하는 것이 중요합니다.

 

다이아몬드 진눈깨비의 접근 방식


다이아몬드 진눈깨비가 사용한 첫 번째 공격 경로에서 위협 행위자는 TeamCity 서버를 성공적으로 손상시킵니다. 이 침해 이후에는 ForestTiger라는 알려진 임플란트를 배포합니다. 특히 우려스러운 점은 이 임플란트가 위협 행위자가 이전에 침해한 적이 있는 합법적인 인프라에서 로드된다는 점입니다. 이 기법은 침입을 탐지하기 어렵게 만들며, 이 때문에 JetBrains TeamCity 결함은 매우 유해한 것으로 입증될 수 있습니다. 이 때문에 JetBrains TeamCity 결함은 매우 해로울 수 있습니다.

다이아몬드 슬릿의 두 번째 변종 공격도 마찬가지로 우려스러운 공격입니다. 이 공격은 악성 DLL(DSROLE.dll, 롤슬링 또는 버전.dll 또는 피드로드라고도 함)을 검색하는 것과 관련이 있습니다. 이 DLL은 DLL 검색 순서 하이재킹이라는 기술을 사용하여 로드됩니다. 이를 통해 위협 행위자는 다음 단계 페이로드를 실행하거나 원격 액세스 트로이 목마(RAT)를 배포할 수 있습니다. Microsoft는 위협 행위자가 두 가지 공격 시퀀스의 도구와 기술을 결합하여 더욱 강력하게 만드는 사례를 관찰했습니다.


오닉스 진눈깨비의 전략


오닉스 슬릿은 다른 접근 방식을 취합니다. 익스플로잇 후
JetBrains TeamCity 패치를 익스플로잇한 후, 이 위협 행위자는 "krtbgt"라는 새 사용자 계정을 생성합니다. 이 계정은 Kerberos 티켓 부여 티켓을 사칭하기 위한 것일 가능성이 높습니다. 설상가상으로, 위협 행위자는 "net use" 명령을 사용하여 이 계정을 로컬 관리자 그룹에 추가합니다.

이 작업이 완료되면 위협 행위자는 손상된 시스템에서 시스템 검색 명령을 실행합니다. 그러면 "HazyLoad"라는 사용자 지정 프록시 도구가 배포됩니다. 이 도구는 손상된 서버와 공격자의 인프라 사이에 지속적인 연결을 설정합니다.

또 다른 우려되는 침해 후 조치는 공격자가 원격 데스크톱 프로토콜(RDP)을 통해 로그인하고 TeamCity 서비스를 종료하기 위해 공격자가 제어하는 "krtbgt" 계정을 사용하는 것입니다. 이는 다른 위협 행위자의 액세스를 차단하기 위한 것으로, 이러한 공격의 지능적이고 공격적인 특성을 강조합니다.

 

라자루스 그룹의 악명 높은 역사


수년에 걸쳐
라자루스 그룹 은 전 세계적으로 가장 악랄하고 정교한 지능형 지속 위협(APT) 그룹 중 하나로 악명을 떨치고 있습니다. 라자루스 그룹은 금융 범죄와 스파이 활동을 포함한 광범위한 공격을 조직적으로 수행해 왔습니다. 이러한 공격에는 암호화폐 강탈과 공급망 침해가 포함되며, 훔친 자금은 종종 미사일 프로그램 및 기타 활동에 자금을 조달하는 데 사용됩니다.

앤 노이버거 미국 국가안보 부보좌관은 전 세계 암호화폐 인프라를 해킹하는 데 이 그룹이 연루되어 있다고 강조하며, 이들의 행동 뒤에 숨겨진 금전적 동기를 더욱 강조했습니다.


안철수연구소의 조사 결과


안랩 시큐리티대응센터(ASEC)는 라자루스 그룹이 감염된 시스템을 제어하기 위한 백도어 역할을 하는 볼그머, 스카우트 등의 악성코드 제품군을 사용한다는 사실도 자세히 설명했습니다. 라자루스 그룹은 스피어 피싱과 공급망 공격을 비롯한 다양한 공격 벡터를 사용합니다. 이러한 전술은 이니세이프 및 매직라인과 같은 제품의 보안 결함을 악용하는 워터링홀 공격을 포함하는 코드명 '오퍼레이션 드림 매직'이라는 또 다른 캠페인과 연관되어 있습니다.

 

JetBrains TeamCity 보안


이제 해커로부터 서버를 보호하기 위해 할 수 있는 일에 대해 집중해 보겠습니다.
팀시티 취약점 악용. Microsoft는 일련의 권장 완화 조치를 제공했습니다:

 

  1. JetBrains 업데이트 적용: CVE-2023-42793 취약점을 해결하기 위해 JetBrains에서 배포한 업데이트 또는 완화 조치를 적용해야 합니다. 소프트웨어를 최신 상태로 유지하는 것은 익스플로잇 위험을 줄이는 기본 단계입니다.
  2. 공격 표면 감소 규칙: "유병률, 연령 또는 신뢰할 수 있는 목록 기준을 충족하지 않으면 실행 파일이 실행되지 않도록 차단" 규칙을 활성화하여 서버의 보안을 더욱 강화하세요.
  3. 침해 지표(IoC) 조사하기: 제공된 침해 지표를 사용하여 사용자 환경에 침해 지표가 존재하는지 조사하세요. 이 단계는 잠재적인 침입을 평가하고 수정 조치를 취하는 데 도움이 될 수 있습니다.
  4. 인바운드 트래픽 차단: IoC 테이블에 지정된 IP 주소로부터의 인바운드 트래픽을 차단하는 것을 고려하세요. 이 사전 예방적 조치는 서버에 대한 무단 액세스를 방지하는 데 도움이 될 수 있습니다.
  5. 안전 DLL 검색 모드: "안전 DLL 검색 모드"가 설정되어 있는지 확인합니다. 이는 DLL 관련 취약점을 예방하는 데 도움이 됩니다.
  6. 즉각적인 조치: 서버에서 악의적인 활동이 의심되는 경우 즉시 조치를 취하세요. 손상된 시스템을 격리하고 자격 증명과 토큰을 재설정합니다. 이는 제어권을 되찾고 잠재적인 피해를 최소화하는 데 매우 중요합니다.
  7. Microsoft Defender 바이러스 백신을 사용하세요: 클라우드 제공 보호 및 자동 샘플 제출 기능을 갖춘 Microsoft Defender 바이러스 백신을 사용하세요. 이러한 고급 기능은 인공 지능과 기계 학습을 사용하여 알려지지 않은 새로운 위협을 빠르게 식별하고 중지합니다.
  8. 측면 이동을 조사합니다: 디바이스 타임라인에서 침해된 계정을 사용한 측면 이동 활동의 징후가 있는지 조사합니다. 공격자가 추가 무단 액세스를 가능하게 하기 위해 남겼을 수 있는 추가 도구를 찾습니다.

결론


북한 해커들이 팀시티의 보안 취약점을 악용하는
팀시티 보안 문제 은 심각하며 즉각적인 주의가 필요합니다. 공격 방법을 이해하고, 권장되는 완화 조치를 구현하고, 강력한 사이버 보안 조치를 채택함으로써 강력한 사이버 보안 조치를 채택하면 서버에 대한 위험을 크게 줄일 수 있습니다. 사이버 보안은 현재 진행 중인 싸움이며, 경계를 늦추지 않고 대비하는 것이 사이버 위협으로부터 소중한 자산을 보호하는 열쇠입니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스보안 문제.

 

요약
서버를 보호하세요: JetBrains TeamCity 결함 경고
기사 이름
서버를 보호하세요: JetBrains TeamCity 결함 경고
설명
북한 해커의 JetBrains TeamCity 결함 익스플로잇을 방어하는 방법을 알아보세요. 보안을 유지하세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기