I criminali informatici che stanno dietro il ransomware BianLian sono stati osservati sfruttare falle di sicurezza nel software JetBrains TeamCity per condurre i loro attacchi basati esclusivamente sull’estorsione.
Quali sono le problematiche che potrebbe dare BianLian
Secondo un nuovo rapporto di GuidePoint Security, che ha risposto a una recente intrusione, l’incidente “è iniziato con lo sfruttamento di un server TeamCity che ha portato alla distribuzione di una versione in PowerShell del backdoor Go di BianLian.”
BianLian è emerso nel giugno 2022 e da allora si è dedicato esclusivamente all’estorsione basata sull’esfiltrazione dopo il rilascio di un decrittatore nel gennaio 2023.
La catena di attacco osservata dalla società di sicurezza informatica comporta lo sfruttamento di un’istanza vulnerabile di TeamCity utilizzando CVE-2024-27198 o CVE-2023-42793 per ottenere un accesso iniziale all’ambiente, seguito dalla creazione di nuovi utenti nel server di compilazione ed esecuzione di comandi maligni per la post-esplorazione e il movimento laterale.
Attualmente non è chiaro quale delle due falle sia stata sfruttata del criminale informatico (o dai criminali informatici) per l’infiltrazione di suddetto ransomware.
I criminali informatici che stanno dietro al ransomware BianLian sono noti per impiantare una backdoor personalizzato su misura per ogni vittima scritto in linguaggio di programmazione Go, oltre a rilasciare strumenti desktop remoti come AnyDesk, Atera, SplashTop e TeamViewer; questa backdoor è stata rintracciata da Microsoft con il nome di BianDoor.
“Dopo diversi tentativi falliti di eseguire il loro backdoor Go standard, il criminale informaticoè passato a vivere dalla terra e ha sfruttato una versione in PowerShell del loro backdoor, che fornisce una funzionalità quasi identica a quella che avrebbero avuto con il loro backdoor Go“, hanno dichiarato i ricercatori di sicurezza Justin Timothy, Gabe Renfro e Keven Murphy.
Il backdoor PowerShell offuscato (“web.ps1”) è progettato per stabilire un socket TCP per una comunicazione di rete aggiuntiva con un server controllato dagli autori del ransomware, consentendo agli attaccanti remoti di compiere azioni arbitrarie su un host infetto.
“La backdoor [che è] ora confermato, è in grado di comunicare con il server di comando e controllo e di eseguire asincronamente in base agli obiettivi di post-esplorazione dell’attaccante remoto“, hanno dichiarato i ricercatori.
La divulgazione avviene mentre VulnCheck ha dettagliato nuove prove di concetto (PoC) per sfruttare una grave falla di sicurezza che colpisce Atlassian Confluence Data Center e Confluence Server (CVE-2023-22527) che potrebbe portare all’esecuzione remota del codice in modo senza file e caricare direttamente nella memoria il web shell Godzilla.
La falla è stata successivamente utilizzata per distribuire il ransomware C3RB3R, miner di criptovalute e trojan di accesso remoto nei due mesi scorsi, indicando pertanto una diffusione non indifferente di questo sfruttamento nel mondo digitale.
“Ci sono più di un modo per arrivare a Roma“, ha detto Jacob Baines di VulnCheck. “Sebbene sembri che utilizzare freemarker.template.utility.Execute sia il modo popolare per sfruttare CVE-2023-22527, altri percorsi più furtivi generano indicatori diversi“.
Conclusione
Altri casi simili di sfruttamento di vulnerabilità in software di gestione del ciclo di vita del software (SDLC) e ransomware includono l’utilizzo di falle di sicurezza in prodotti come Jenkins, GitLab, e Bitbucket. In questi scenari, i criminali informatici hanno quindi mirato a compromettere l’ambiente di sviluppo e implementazione del software, sfruttando le debolezze nella sicurezza per eseguire attacchi di estorsione e esfiltrare dati sensibili.
Va detto quindi che l’adozione di pratiche di sicurezza solide e l’applicazione tempestiva di patch di sicurezza sono diventate cruciali per mitigare il rischio di tali incidenti; per quanto gli aggiornamenti di Windows (e non solo siano) “visti male”, in un mondo digitale sempre in continua evoluzione, è importante farle, che poi ogni tanto possano avere problemi è pacifico, tuttavia spesso i siti ufficiali danno l’avviso di non aggiornare.