BianLian, un grupo de ciberdelincuentes conocido por sus ataques de ransomware, Recientemente llamó la atención de la comunidad de seguridad de la información.. Explotando vulnerabilidades en la plataforma JetBrains TeamCity, lograron llevar a cabo ciberataques de varias etapas. Según se informa, actores de amenazas comience su cadena de ataque con una puerta trasera basada en Golang, y llegar hasta la carga útil del ransomware.
BianLian explota las vulnerabilidades de TeamCity
Una investigación reciente descubrió una nueva tendencia en el modus operandi de BianLian. Revelaron que los actores de amenazas detrás del ransomware Se ha observado que explotan fallas de seguridad en el software JetBrains TeamCity para llevar a cabo sus ataques.. Aprovechar las vulnerabilidades conocidas como CVE-2024-27198 o CVE-2023-42793, Los atacantes obtuvieron acceso inicial al entorno., allanando el camino para una mayor infiltración. Creando nuevos usuarios y ejecutando comandos maliciosos dentro de la infraestructura de TeamCity, actores de amenaza Maniobras orquestadas posteriores a la explotación. y movimiento lateral, ampliar su presencia en la red de la víctima.
Implementación de puerta trasera a través de PowerShell
El informe original de GuidePoint Security dice que a pesar del éxito inicial, BianLian cayó de nuevo a un PowerShell version of their backdoor. Esto ocurrió debido a la sorprendente detección de Microsoft Defender. Al mismo tiempo, Los piratas informáticos lograron implementar las herramientas de reconocimiento de red y usarlas antes de buscar una puerta trasera de PS..
La versión de puerta trasera de PowerShell, ofuscado para dificultar el análisis, exhibió un esquema de cifrado de múltiples capas. Aún, fue posible entender lo que estaba pasando y analizar las acciones de los adversarios. El malware estableció una conexión de túnel con el servidor de comando, saludando listo para futuras acciones. Y aunque usar PS en ciberataques no es algo inusual, puertas traseras enteras basadas en PS, que también incorpora altos niveles de ofuscación, es una nueva táctica.
Funcionalidad y capacidades de la puerta trasera
La puerta trasera de PowerShell descrita anteriormente principalmente tiene como objetivo facilitar el acceso encubierto y control sobre sistemas comprometidos. El resumen de la investigación revela varias características de este malware que se deben tener en cuenta.
La puerta trasera incorpora funcionalidad para resolver direcciones IP según los parámetros proporcionados., establecer sockets TCP para la comunicación con comando y control remoto (C2) servidores. También, Esto permite el intercambio de datos bidireccional entre el sistema comprometido y la infraestructura controlada por el atacante.. Aquí está el código recuperado por los analistas.:
#Function to Resolve IP address
function cakest{
param($Cakes_Param_1)
IF ($Cakes_Param_1 -as [ipaddress]){
return $Cakes_Param_1
}else{
$Cakes_Resolved_IP = [System.Net.Dns]::GetHostAddresses($Cakes_Param_1)[0].IPAddressToString;
}
return $Cakes_Resolved_ IP
}
Aprovechando técnicas de ejecución asincrónica, La puerta trasera optimiza el rendimiento y evade la detección mediante el uso de Runspace Pools. Esto permite que se ejecuten varias instancias de PowerShell simultáneamente, mejorar la eficiencia operativa durante las actividades posteriores a la explotación.
También, para garantizar una comunicación segura, la puerta de atrás establishes SSL streams Entre los Sistema comprometido y servidores C2., cifrar los datos intercambiados a través de la red. Al emplear cifrado, Los actores de amenazas mitigan el riesgo de interceptación y detección mediante herramientas de monitoreo de red.. En general, la comunicación C2 se refiere a este código:
function cookies{
param (
#Default IP in parameter = 127.0.0.1
[String]$Cookies_Param1 - "0x7F000001",
[Int]$Cookies_Param2 - 1080,
[Switch]$Cookies_Param3 - $false,
[String]$Cookies_Param4 - "",
[Int]$Cookies_Params - 200,
[Int]$Cookies_Param6 - 0
)
Imitación de tácticas observadas en malware avanzado, la puerta trasera valida los certificados SSL presentados por los servidores C2, verificar la autenticidad de puntos finales remotos. Éste El mecanismo de autenticación mejora la resiliencia. del canal de comunicación frente a posibles intentos de interceptación o infiltración.
Cómo mantenerse seguro?
El grupo de amenazas BianLian sigue evolucionando, y a la luz de sus recientes ataques, es importante tomar las medidas de seguridad adecuadas. Afortunadamente, son más o menos iguales incluso para proteger contra grupos de cibercrimen de alto perfil.
- Primero y ante todo, Se recomienda actualizar periódicamente y parchear aplicaciones externas. Esto ayuda a mitigar las vulnerabilidades conocidas que los actores de amenazas pueden aprovechar para infiltrarse en sus sistemas..
- Asegure su El equipo está bien versado en los procedimientos de respuesta a incidentes.. Cada miembro de su equipo debe tener un conocimiento profundo de cómo responder eficazmente a los incidentes de seguridad.. Se deben realizar simulacros periódicos para perfeccionar las estrategias de respuesta y minimizar el riesgo. impacto de posibles violaciones de seguridad.
- Realice pruebas de penetración basadas en inteligencia de amenazas para identificar y abordar proactivamente las debilidades en sus defensas. Las pruebas de penetración implican ataques simulados a sus sistemas para descubrir vulnerabilidades que podrían ser explotadas por actores maliciosos.. Utilizando inteligencia sobre amenazas para informar estas pruebas, puede centrarse en las amenazas más impactantes que enfrenta su organización.
- Además utilizar soluciones de seguridad avanzadas. EDR y XDR son imprescindibles, cuando hablamos de ciberseguridad de nivel corporativo. Pueden cubrir grandes redes de ordenadores., orquestar la respuesta y detectar incluso ataques sofisticados como el que describí anteriormente.