Microsoft likviduje ruské hackery Midnight Blizzard zaměřené na servery TeamCity
Není to první útok skupiny.
1 min. číst
Publikované dne
Sdílejte tento článek
Vylepšete tuto příručku
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Klíčové poznámky
- Ruský herec proti hrozbám národního státu Midnight Blizzard se pokusil dostat na servery TeamCity.
- Microsoft do pokusu zasáhl a zmírnil kampaň.
- Midnight Blizzard se připojuje k řadám dalších aktérů ohrožení národními státy, včetně severokorejských skupin Diamond Sleet a Onyx Sleet.
Ruský aktér ohrožení národního státu jménem Midnight Blizzard využívá veřejně dostupný exploit CVE-2023-42793 cílit na servery TeamCity.
Společnost Microsoft podnikla kroky k narušení a zmírnění této kampaně a doporučuje organizacím, aby tuto zranitelnost opravily, povolily segmentaci sítě, implementovaly vícefaktorové ověřování, monitorovaly síťový provoz a k ochraně před touto hrozbou používaly bezpečnostní řešení.
Tato chyba zabezpečení, která byla objevena na začátku listopadu, ovlivňuje populární platformu TeamCity pro nepřetržitou integraci a nepřetržité doručování (CI/CD).
Midnight Blizzard se připojuje k řadám dalších aktérů ohrožení národními státy, včetně severokorejských skupin Diamond Sleet a Onyx Sleet, které byly v říjnu pozorovány při využívání zranitelnosti CVE-2023-42793.
Po úspěšném zneužití zranitelnosti Midnight Blizzard nainstaluje variantu malwaru VaporRage a použije naplánované úlohy k udržení jeho perzistence v napadeném systému.
Tato varianta, která je podobná malwaru používanému v předchozí phishingové kampaně aktérem hrozby komunikuje s příkazovým a řídicím (C2) serverem pomocí Microsoft OneDrive nebo Dropbox.
Microsoft Defender Antivirus a Microsoft Defender for Endpoint poskytují ochranu před tímto a dalším malwarem Midnight Blizzard, včetně narušení zneužívání Microsoft OneDrive pro C2.
