Microsoft kaatoi venäläiset hakkerit Midnight Blizzardin, jotka kohdistuvat TeamCity-palvelimiin
Tämä ei ole ryhmän ensimmäinen hyökkäys.
1 min. lukea
Julkaistu
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Keskeiset huomautukset
- Venäläinen kansallisvaltiouhkatekijä Midnight Blizzard yritti päästä TeamCityn palvelimille.
- Microsoft puuttui yritykseen ja lievensi kampanjointia.
- Midnight Blizzard liittyy muiden kansallisvaltiota uhkaavien toimijoiden joukkoon, mukaan lukien pohjoiskorealaiset Diamond Sleet ja Onyx Sleet.
Venäjän kansallisvaltion uhkatekijä Midnight Blizzard hyödyntää julkisesti saatavilla olevaa hyväksikäyttöä CVE-2023-42793 kohdistaa TeamCity-palvelimiin.
Microsoft on ryhtynyt toimiin tämän kampanjan keskeyttämiseksi ja lieventämiseksi ja suosittelee, että organisaatiot korjaavat haavoittuvuuden, ottavat käyttöön verkon segmentoinnin, ottavat käyttöön monitekijätodennuksen, valvovat verkkoliikennettä ja suojaavat tätä uhkaa vastaan suojausratkaisuilla.
Tämä haavoittuvuus, joka havaittiin marraskuun alussa, vaikuttaa suosittuun jatkuvan integroinnin ja jatkuvan toimituksen (CI/CD) alustaan TeamCity.
Midnight Blizzard liittyy muiden kansallisvaltion uhkatekijöiden joukkoon, mukaan lukien pohjoiskorealaiset Diamond Sleet ja Onyx Sleet, joiden on havaittu hyödyntävän CVE-2023-42793-haavoittuvuutta lokakuussa.
Hyödynnettyään onnistuneesti haavoittuvuutta, Midnight Blizzard asentaa muunnelman VaporRage-haittaohjelmasta ja käyttää ajoitettuja tehtäviä säilyttääkseen sen pysyvyyden vaarantuneessa järjestelmässä.
Tämä versio, joka on samanlainen kuin haittaohjelma, jota käytetään aiemmat tietojenkalastelukampanjat uhkatoimija kommunikoi komento- ja ohjauspalvelimen (C2) kanssa Microsoft OneDriven tai Dropboxin avulla.
Microsoft Defender Antivirus ja Microsoft Defender for Endpoint tarjoavat suojan tätä ja muita Midnight Blizzard -haittaohjelmia vastaan, mukaan lukien Microsoft OneDrive for C2:n väärinkäytön häiritseminen.