Actores de amenazas BianLian explotan fallas en JetBrains TeamCity en ataques de ransomware

XPoint
Publicado el 12/03/2024

Los actores de amenazas detrás del ransomware BianLian han sido observados explotando fallas de seguridad en el software JetBrains TeamCity para llevar a cabo sus ataques de extorsión.

Según un nuevo informe de GuidePoint Security, que respondió a una reciente intrusión, el incidente «comenzó con la explotación de un servidor TeamCity, lo que resultó en la implementación de una implementación PowerShell de la puerta trasera Go de BianLian».

BianLian surgió en junio de 2022 y, desde entonces, se ha centrado exclusivamente en extorsiones basadas en la exfiltración después del lanzamiento de un descifrador en enero de 2023.

Ciberseguridad La cadena de ataque observada por la firma de ciberseguridad implica la explotación de una instancia vulnerable de TeamCity utilizando CVE-2024-27198 o CVE-2023-42793 para obtener acceso inicial al entorno, seguido de la creación de nuevos usuarios en el servidor de compilación y la ejecución de comandos maliciosos para la postexplotación y el movimiento lateral.

Actualmente no está claro cuál de las dos fallas fue utilizada por el actor de amenazas para la infiltración.

Se sabe que los actores de BianLian implantan una puerta trasera personalizada diseñada para cada víctima escrita en Go, así como dejan herramientas de escritorio remoto como AnyDesk, Atera, SplashTop y TeamViewer. La puerta trasera es rastreada por Microsoft como BianDoor.

«Después de varios intentos fallidos de ejecutar su puerta trasera estándar de Go, el actor de amenazas cambió a técnicas más sutiles y aprovechó una implementación de PowerShell de su puerta trasera, que proporciona una funcionalidad casi idéntica a la que tendrían con su puerta trasera de Go», dijeron los investigadores de seguridad Justin Timothy, Gabe Renfro y Keven Murphy.

La puerta trasera PowerShell ofuscada («web.ps1») está diseñada para establecer un socket TCP para comunicación de red adicional con un servidor controlado por el actor, permitiendo a los atacantes remotos realizar acciones arbitrarias en un host infectado.

«La puerta trasera ahora confirmada puede comunicarse con el servidor de [control y comando] y ejecutarse de manera asincrónica según los objetivos de postexplotación del atacante remoto», dijeron los investigadores.

Esta revelación se produce cuando VulnCheck detalla pruebas de concepto (PoC) frescas de exploits para una falla crítica de seguridad que afecta a Atlassian Confluence Data Center y Confluence Server (CVE-2023-22527) que podría conducir a la ejecución remota de código de manera sin archivos y cargar directamente la cáscara web Godzilla en la memoria.

Preguntas frecuentes

¿Qué es el ransomware?

+

El ransomware es un tipo de malware que bloquea los datos o dispositivos de una víctima y amenaza con mantenerlos bloqueados, a menos que la víctima pague un rescate al atacante.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos