BianLian勒索软件团伙利用JetBrains TeamCity漏洞进行攻击
关键要点
BianLian勒索软件团伙正在利用JetBrains TeamCity软件开发平台的已知漏洞,获取初步访问受害者系统的权限。该团伙通过绕过认证的严重漏洞来入侵TeamCity服务器,然后安装恶意工具和PowerShell后门进行持续控制。恶意软件开发的灵活性使BianLian成为2023年排名前十的勒索软件团伙之一,主要集中在医疗、制造、专业服务等领域。BianLian勒索软件团伙正在利用JetBrains的TeamCity软件开发平台中的已知漏洞,以获得对受害者系统的初步访问权限。GuidePoint Security的研究人员指出,他们最近观察到BianLian试图在访问受害者的TeamCity服务器后,部署多个恶意工具,其中包括一个新颖的PowerShell后门。
研究人员在3月8日的博文中表示:“正如我们在2023年到2024年所见,BianLian不断证明它们能够适应不断变化的环境,尤其是在利用新出现的漏洞方面。”
免费clashTeamCity漏洞揭示供应链攻击风险
该团伙的TeamCity攻击涉及利用两个关键严重性认证绕过漏洞中的一个,其中一个本月已修复CVE202427198,另一个则在去年九月修复CVE202342793。
GuidePoint Security的研究人员表示:“威胁行为者识别了一个脆弱的TeamCity服务器,并利用CVE202427198/CVE202342793获取环境的初步访问权限,在TeamCity中创建用户并在TeamCity产品的服务账户下发出恶意命令。”在分析时,缺乏确定威胁行为者利用了哪一个CVE所需的日志记录。
BianLian以部署针对每个受害者定制的Go语言后门而闻名,在其后安装远程管理和访问软件以实现持久性和控制。但GuidePoint Security观察到在TeamCity攻击中的方法有所改变。
研究人员指出:“在多次尝试执行其标准Go后门失败后,威胁行为者转而使用PowerShell实现他们的后门,提供与他们的Go后门几乎相同的功能。”
TeamCity用于管理组织的持续集成和持续交付CI/CD软件开发管道构建、测试和部署代码的过程。该平台被约30000个组织使用。
一旦妥协了TeamCity服务器,威胁行为者可能会获得受害组织的源代码和签名证书,从而有能力颠覆软件编译和部署过程,发起供应链攻击,这一点安全和执法机构在12月时发布警告。
灵活性使BianLian成为顶级勒索软件团伙
鉴于其倾向于利用最新漏洞,BianLian的名称非常贴切,它源自古老的中国戏剧艺术“变脸”,表演者身着华丽的服装,迅速更换多张面具。
该团伙于2022年作为一个双重敲诈勒索团伙出现,要求受害者支付费用以解锁加密文件,同时以出售或公布外泄数据的威胁作为附加杠杆。
不过,当Avast在去年初[发布了一个解密工具](https//wwwscworldcom/news/avastpostsdecryptorfor
