マイクロソフトは、ソフトウェア開発で使用される継続的インテグレーション/継続的デリバリー(CI/CD)アプリケーションに存在する重大な脆弱性が、北朝鮮の脅威アクターによって積極的に悪用されていると警告した。
同社は、北朝鮮の国家支援アクターであるDiamond SleetとOnyx Sleetの2者が、リモートコード実行の脆弱性CVE-2023-42793を2023年10月上旬以降悪用していることを確認したと述べた。
CVSS深刻度スコア9.8のこの欠陥は、組織がDevOpsやその他のソフトウェア関連活動に利用するJetBrains TeamCityサーバーの複数バージョンに影響する。
マイクロソフトは、Diamond SleetとOnyx Sleetがこれまでビルド環境に侵入することでソフトウェア・サプライチェーン攻撃を成功させてきたと指摘した。そのため、同社はこの活動が影響を受ける組織にとって「著しく高いリスク」をもたらすと評価している。
これまでに侵入の影響を受けた組織のプロファイルに基づき、研究者らは攻撃者が脆弱なサーバーを機会主義的に侵害している可能性があると考えている。「しかし、両アクターはマルウェアやツールを展開し、被害者環境への永続的なアクセスを可能にし得る手法を利用している」と勧告には記されている。
グループが組織を標的にする方法
マイクロソフトは、2つの北朝鮮の脅威アクターの焦点とアプローチの違いを強調した。Diamond Sleetは主に、スパイ活動、データ窃取、金銭的利益、ネットワーク破壊を目的として、世界中のメディア、ITサービス、防衛関連組織を標的にしている。
TeamCityサーバーの侵害に成功すると、同グループは侵害されたサーバー上でコマンドを実行するために「ForestTiger」マルウェアを展開する。Diamond Sleetが用いる別の攻撃経路では、侵害されたサーバー上のPowerShellを利用して、攻撃者のインフラから悪意のあるDLLをダウンロードし、DLL検索順序ハイジャックを実行する。
Onyx Sleetの主な標的は、韓国、米国、インドの防衛およびITサービス組織である。同グループは、被害者環境への永続的なアクセスを確立し、検知を回避したまま潜伏できる一連のツールを開発している。
TeamCityの脆弱性の悪用に成功した後、同グループはHazyLoadとして知られるプロキシツールを展開し、侵害されたホストと攻撃者が制御するインフラの間に永続的な接続を確立する。
これらの脅威への防御方法
- 修正を含むTeamCity 2023.05.4アップデートを適用する。古いTeamCityバージョン(8.0以上)向けのプラグインも作成されている。
- アンチウイルスツールを使用して、新規および未知の脅威を迅速に特定し阻止する
- 攻撃者が環境を侵害したかどうかの調査に役立てるため、マイクロソフトの侵害の痕跡(IOC)リストを分析する。
- IOCリストに記載されたIPからのインバウンド通信をブロックする。
- デバイス上で悪意のあるコードが起動されたことが判明した場合は、直ちにシステムを隔離し、資格情報とトークンをリセットする。
- 侵害されたアカウントのいずれかを使用したラテラルムーブメント活動の兆候について、デバイスのタイムラインを調査する。
翻訳元: https://www.infosecurity-magazine.com/news/north-korean-exploiting-critical/
