Figyelmeztetés az orosz SZVR kibertevékenységére
Az amerikai és brit kiberügynökségek 2024. október 10-én arra figyelmeztettek, hogy az orosz Külföldi Hírszerző Szolgálathoz (SVR) köthető APT29 hackerek „tömegesen” támadják a sérülékeny Zimbra és JetBrains TeamCity szervereket. Az NSA, az FBI, az amerikai kiberparancsnokság CNMF és az Egyesült Királyság NCSC által kiadott közös összefoglaló arra figyelmeztet, hogy ki kell javítani a veszélyeztetett szervereket, hogy blokkolják a folyamatban lévő támadásokat. A négy kiberügynökség szerint a hackercsoport a javítatlan Zimbra és TeamCity online kitettségű szervereket veszi célba tömegesen, a CVE-2022-27924 és CVE-2023-42793 exploitok segítségével. A CVE-2022-27924-et legalább 2022 augusztusa óta használják ki, hogy ellopják az e-mail fiókok hitelesítő adatait a nem javított Zimbra Collaboration példányokból, míg a CVE-2023-42793-at mind a ransomware csoportok, mind az észak-koreai hackercsoportok kihasználják kezdeti hozzáféréshez és ellátási lánc elleni támadási kísérletekhez.
„Az SVR kiberszereplőinek TTP-je és korábbi célzott támadásai alapján a szerzői ügynökségek úgy értékelik, hogy képesek és érdekeltek további CVE-k kihasználására kezdeti hozzáférés, távoli kódfuttatás és jogosultságok kiterjesztése céljából” – tették hozzá. Az összefoglalás két tucatnyi, az elmúlt hat évben nyilvánosságra hozott és javított sérülékenységet sorol fel, és arra kéri a kiberbiztonsági szakembereket, hogy telepítsenek biztonsági javításokat és alkalmazzanak enyhítő intézkedéseket a biztonsági rések javítása érdekében.
