Microsoft acaba con los piratas informáticos rusos Midnight Blizzard que apuntan a los servidores de TeamCity

No es el primer ataque del grupo.

Inicio » Noticias

Icono de tiempo de lectura 1 minuto. leer

Icono de calendario Publicado el

by Rafly Gilang 

Publicado en

Compartir este artículo

Los lectores ayudan a respaldar a MSpoweruser. Es posible que obtengamos una comisión si compra a través de nuestros enlaces. Icono de información sobre herramientas

Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más

Notas clave

  • El actor de amenazas del estado-nación ruso Midnight Blizzard intentó ingresar a los servidores de TeamCity.
  • Microsoft intervino en el intento y mitigó la campaña.
  • Midnight Blizzard se une a las filas de otros actores de amenazas de estados-nación, incluidos los grupos norcoreanos Diamond Sleet y Onyx Sleet.
Logotipo de Microsoft

El actor de amenazas del estado-nación ruso llamado Midnight Blizzard está explotando un exploit disponible públicamente para CVE-2023-42793 para apuntar a los servidores de TeamCity.

Microsoft ha tomado medidas para interrumpir y mitigar esta campaña y recomienda que las organizaciones solucionen la vulnerabilidad, habiliten la segmentación de la red, implementen la autenticación multifactor, supervisen el tráfico de la red y utilicen soluciones de seguridad para protegerse contra esta amenaza.

Esta vulnerabilidad, que se descubrió a principios de noviembre, afecta a la popular plataforma de integración y entrega continua (CI/CD) TeamCity.

Midnight Blizzard se une a las filas de otros actores de amenazas de estados-nación, incluidos los grupos norcoreanos Diamond Sleet y Onyx Sleet, a los que se ha observado explotando la vulnerabilidad CVE-2023-42793 en octubre.

Después de explotar con éxito la vulnerabilidad, Midnight Blizzard instala una variante del malware VaporRage y utiliza tareas programadas para mantener su persistencia en el sistema comprometido. 

Esta variante, que es similar al malware utilizado en campañas de phishing anteriores por el actor de la amenaza, se comunica con el servidor de comando y control (C2) mediante Microsoft OneDrive o Dropbox.

Microsoft Defender Antivirus y Microsoft Defender for Endpoint brindan protección contra este y otros programas maliciosos de Midnight Blizzard, incluida la interrupción del abuso de Microsoft OneDrive para C2.

Rafly Gilang

Rafly Gilang Proteccion

Reportero técnico

Rafly es un reportero con años de experiencia periodística, que abarca desde tecnología, negocios, redes sociales y cultura. Actualmente informa noticias sobre productos, tecnología e inteligencia artificial relacionados con Microsoft en Windows Report y MSPowerUser. ¿Tienes un consejo? envíalo a [email protected].