威脅團伙利用TeamCity CVE-2023-42793漏洞展開攻擊

自2023年10月初以來，微軟已經觀察到兩個由朝鮮政府撐腰的威脅組織：Diamond Sleet和Onyx Sleet，他們利用CVE-2023-42793漏洞影響JetBrains TeamCity服務器多個版本。TeamCity作為一款持續集成/持續部署（CI/CD）應用軟件，被眾多組織用于DevOps及其他軟件開發活動。

在過去的行動中，Diamond Sleet及朝鮮的其他威脅組織通過滲入到軟件構建環境中，成功地實施了軟件供應鏈攻擊。有鑒于此，微軟認為該活動對已受影響的組織構成了極大風險。目前，JetBrains已發布了更新版來解決這個漏洞，并為無法更新到最新軟件版本的用戶提供了緩解措施。

雖然這兩個威脅組織都利用同一個漏洞，但微軟觀察到Diamond Sleet和Onyx Sleet在成功滲入后都各自利用了一系列獨特的工具和技術。基于受這些入侵影響的受害者組織情況，微軟認為威脅組織可能在伺機闖入易受攻擊的服務器。

這兩個組織都部署了惡意軟件和工具，并利用了可以持久訪問受害者環境的技術。與以往觀察到的政府撐腰的攻擊活動一樣，微軟直接通知了已成為攻擊目標或受到威脅的客戶，并向他們提供保護其環境所需的信息。

     Diamond Sleet和Onyx Sleet是何方神圣？

Diamond Sleet（ZINC）是朝鮮政府撐腰的威脅組織，主要從事間諜活動、竊取數據、牟取經濟利益和破壞網絡。這個組織通常以全球各地的媒體、IT服務和國防相關實體為目標。微軟在2021年1月報告了Diamond Sleet針對安全研究人員的攻擊，該組織在2022年9月將開源軟件淪為武器化。2023年8月，Diamond Sleet侵入了一家德國軟件供應商的軟件供應鏈。

Onyx Sleet是同樣由朝鮮政府撐腰的威脅組織，主要針對韓國、美國和印度的國防和IT服務。Onyx Sleet使用了自行開發的一套強大的工具對受害者環境實現持久訪問，并且不被發現，該組織經常利用N日漏洞（N-day）獲得對威脅目標的初始訪問權限。

     Diamond Sleet攻擊路徑1：部署ForestTiger后門

在成功入侵TeamCity服務器之后，Diamond Sleet利用PowerShell從之前被該威脅組織入侵的合法基礎設施下載了兩個攻擊載荷。這兩個攻擊載荷Forest64.exe和4800-84DC-063A6A41C5C存儲在C:\ProgramData目錄中。

啟動后，Forest64.exe檢查是否存在一個名為4800-84DC-063A6A41C5C的文件，然后使用“uTYNkfKxHiZrx3KJ”嵌入的靜態分配密鑰來讀取和解密該文件的內容：

c:\ProgramData\Forest64.exeuTYNkfKxHiZrx3K

值得關注的是，當惡意軟件被調用時，這個同樣的值被指定為一個參數，但是在分析過程中沒有看到它被利用。同樣的值和配置名稱還出現在卡巴斯基Securelist報告的這個名為ForestTiger的惡意軟件的歷史活動中。

4800-84DC-063A6A41C5C的解密內容是惡意軟件的配置文件，其中含有其他參數，比如后門用于指揮和控制（C2）的基礎設施。微軟觀察到Diamond Sleet使用了之前被該組織入侵的基礎設施充當C2。

微軟觀察到Forest64.exe隨后創建了一個名為Windows TeamCity設置用戶界面的計劃任務，因此每次系統啟動時它都會運行，使用上述引用的命令參數“uTYNkfKxHiZrx3KJ”。微軟還觀察到Diamond Sleet利用ForestTiger后門通過LSASS內存轉儲憑據。Microsoft Defender Antivirus將該惡意軟件檢測為ForestTiger。

圖1. Diamond Sleet攻擊鏈1使用ForestTiger后門

     Diamond Sleet攻擊路徑2：部署用于DLL搜索順序劫持攻擊的攻擊載荷

Diamond Sleet利用受感染服務器上的PowerShell從攻擊者的基礎設施下載一個惡意DLL。然后，這個惡意DLL與合法的.exe文件一起暫存在C:\ProgramData\中，以執行DLL搜索順序劫持。微軟觀察到該組織結合使用了這些惡意DLL和合法的EXE文件：

DSROLE.dll攻擊鏈

當DSROLE.dll由wsmprovhost.exe加載時，DLL啟動一個線程，該線程枚舉并嘗試處理與該DLL在同一個執行目錄中的文件。讀取候選文件的前四個字節，并表示要讀取的剩余緩沖區的大小。一旦讀回剩余的數據，字節將被反轉，以顯示暫存在內存中的可執行載荷。預期的PE文件應該是特定導出名為“StartAction”的DLL。該導出的地址已被解析，然后在內存中啟動。

雖然DSROLE.dll的功能最終取決于它解混淆和啟動的任何攻擊載荷，但微軟觀察到該DLL被用于啟動wksprt.exe，該文件與C2域進行聯系。Microsoft Defender Antivirus使用家族名稱RollSling檢測dslole .dll。

Version.dll攻擊鏈

由clip.exe加載時，Version.dll加載并解密readme.md的內容，這是與Version.dll一起從攻擊者攻陷的基礎設施下載的文件。文件readme.md含有用作多字節XOR密鑰的數據，用于解密嵌入在Version.dll中的位置無關代碼（PIC）。這個PIC加載并啟動最終階段的遠程訪問木馬（RAT）。

圖2. Readme.md的組成，被Version.dll用作多字節XOR密鑰

圖3. 運用XOR密鑰暴露下一階段的代碼塊

圖4. 從代碼塊中提煉出嵌入式PE

一旦加載到內存中，第二階段的可執行文件將解密一個嵌入的配置文件，該配置文件含有惡意軟件用于指揮和控制的幾個URL。在惡意軟件向回調URL傳達信號后不久，微軟觀察到一個單獨的進程iexpress.exe已創建，并與其他C2域進行聯系。Microsoft Defender Antivirus使用家族名稱FeedLoad檢測Version.dll。

圖5. Diamond Sleet攻擊鏈2使用DLL搜索順序劫持

在成功入侵后，微軟觀察到Diamond Sleet通過LSASS內存轉儲憑據。

在一些情況下，微軟觀察到Diamond Sleet入侵同時利用了攻擊路徑1和路徑2的工具和技術。

     Onyx Sleet攻擊路徑：用戶帳戶創建、系統發現和載荷部署

在使用TeamCity漏洞成功侵入后，Onyx Sleet在受攻擊系統上創建了一個新的用戶帳戶。這個名為krtbgt的帳戶很可能是為了冒充合法的Windows帳戶名稱KRBTGT，即Kerberos票據授予票據。創建帳戶后，該威脅組織通過net use將其添加到了本地管理員組：

net localgroup administrators krtbgt /add

威脅組織還在受感染系統上運行幾個系統發現命令，包括如下：

net localgroup 'Remote Desktop Users’

net localgroup Administrators

cmd.exe "/c tasklist | findstr Sec"

cmd.exe "/c whoami"

cmd.exe "/c netstat -nabp tcp"

cmd.exe "/c ipconfig /all"

cmd.exe "/c systeminfo"

接下來，威脅組織通過PowerShell從攻擊者控制的基礎設施下載一個獨特的攻擊載荷，從而將其部署到受感染的系統。微軟觀察到有獨特攻擊載荷的這些文件路徑：

?C:\Windows\Temp\temp.exe

?C:\Windows\ADFS\bg\ inetmgr.exe

該攻擊載荷在啟動后加載并解密嵌入式PE資源。然后將這個解密的攻擊載荷被加載到內存中并直接啟動。內部攻擊載荷是一個代理工具，可幫助在受攻擊的主機和攻擊者控制的基礎設施之間建立持久連接。Microsoft Defender Antivirus將該代理工具檢測為HazyLoad。

微軟還觀察到在這條攻擊路徑中利用了攻擊后工具和技術：

?使用攻擊者控制的krtbgt帳戶通過遠程桌面協議（RDP）登錄到受感染的設備。

?停止TeamCity服務，可能是為了防止其他威脅團伙訪問。

?通過LSASS內存轉儲憑據。

?部署工具來檢索憑據及瀏覽器存儲的其他數據。

圖6. Onyx Sleet攻擊鏈，用戶帳戶已創建

     建議采取的緩解措施

微軟建議采取以下緩解措施，以減小該威脅的影響。

?采用JetBrains發布的更新版或緩解措施以解決CVE-2023-42793。

?使用文末所附的攻陷指標來調查它們是否存在于自己的環境中，并評估潛在的入侵。

?阻止來自IOC表中指定的IP 地址的入站流量。

?使用Microsoft Defender Antivirus來防范該威脅。開啟云交付的保護和自動樣本提交。這些功能使用人工智能和機器學習來快速識別和阻止新的威脅和未知的威脅。

?立即采取行動，解決受影響設備上的惡意活動。如果惡意代碼已經啟動，攻擊者很可能已經完全控制了設備。立即隔離系統，并執行憑據和令牌的重置。

?調查設備時間線，尋找使用其中一個受攻擊帳戶進行橫向移動活動的跡象。檢查攻擊者可能投放實現憑據訪問、橫向移動及其他攻擊活動的其他工具。

?確保“安全DLL搜索模式”已設定。

?打開減小攻擊面的以下規則：

?阻止可執行文件運行，除非它們符合流行程度、年限或受信任列表標準。

     攻陷指標（IOC）

下表給出了我們在調查過程中觀察到的IOC。我們鼓勵客戶調查其環境中的這些指標，并實施檢測和保護機制，以識別過去的相關活動，并防止系統遭到未來攻擊。

相關表詳見以下鏈接的末尾處：

https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/

參考及來源：https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/