TeamCity kihasználása
2023. október eleje óta a Microsoft két észak-koreai nemzetállami fenyegetést figyelt meg – a Diamond Sleet és az Onyx Sleet –, amelyek kihasználták a CVE-2023-42793-at, a JetBrains TeamCity szerver több verzióját is érintő távoli kódfuttatási biztonsági rést. A TeamCity egy folyamatos integrációs/folyamatos telepítésű (CI/CD) alkalmazás, amelyet a szervezetek DevOps-hoz és egyéb szoftverfejlesztési tevékenységekhez használnak.
Korábbi műveletei során a Diamond Sleet és más észak-koreai fenyegetés szereplői sikeresen hajtottak végre szoftver-ellátási lánc támadásokat. Ennek alapján a Microsoft úgy ítéli meg, hogy ez a tevékenység különösen nagy kockázatot jelent az érintett szervezetek számára. A JetBrains kiadott egy frissítést a biztonsági rés megszüntetésére, és kifejlesztett egy enyhítő eszközt azon felhasználók számára, akik nem tudnak frissíteni a legújabb szoftververzióra.
Míg a két fenyegetett szereplő ugyanazt a sebezhetőséget használja ki, a Microsoft megfigyelte, hogy a Diamond Sleet és az Onyx Sleet egyedi eszközöket és technikákat használnak a sikeres kiaknázást követően.
A behatolások által érintett áldozatszervezetek profilja alapján a Microsoft úgy ítéli meg, hogy a fenyegetés szereplői opportunista módon veszélyeztethetik a sebezhető szervereket. Mindazonáltal mindkét szereplő rosszindulatú programokat és eszközöket telepített, és olyan technikákat alkalmazott, amelyek lehetővé teszik az áldozati környezetekhez való folyamatos hozzáférést.
Mint minden megfigyelt nemzetállami szereplő tevékenysége esetén, a Microsoft közvetlenül értesíti a megcélzott vagy feltört ügyfeleket, és biztosítja számukra a környezet védelméhez szükséges információkat.
A Microsoft megosztott az azonosításhoz szükséges mutatókat.