微软警告称，朝鲜威胁行为者正在积极利用软件开发中使用的持续集成/持续部署（CI/CD）应用程序中的一个关键漏洞。

这家科技巨头表示，自 2023 年 10 月初以来，它观察到两个朝鲜民族国家行为者——Diamond Sleet 和 Onyx Sleet——利用远程代码执行漏洞 CVE-2023-42793。

该漏洞的 CVSS 严重等级为 9.8，影响组织用于 DevOps 和其他软件活动的多个版本的 JetBrains TeamCity 服务器。

微软指出，Diamond Sleet 和 Onyx Sleet 此前曾通过渗透构建环境成功实施软件供应链攻击。因此，它评估此活动对受影响的组织构成“极高的风险”。

根据迄今为止受这些入侵影响的组织的概况，研究人员认为攻击者可能会趁机破坏易受攻击的服务器。“然而，两个攻击者都部署了恶意软件和工具，并利用了可能能够持续访问受害者环境的技术，”报告中写道。

团体如何针对组织

微软强调了两个朝鲜威胁行为者的不同焦点和方法。Diamond Sleet 主要针对世界各地的媒体、IT 服务和国防相关实体，其目的是从事间谍活动、数据盗窃、经济利益和网络破坏。

一旦攻击了 TeamCity 服务器，该组织就会部署“ForestTiger”恶意软件，在受攻击的服务器上执行命令。Diamond Sleet 使用的另一种攻击路径是利用受感染服务器上的 PowerShell 从攻击者基础设施下载恶意 DLL，以执行 DLL 搜索顺序劫持。

Onyx Sleet 的主要目标是韩国、美国和印度的国防和 IT 服务组织。它开发了一套工具，使其能够建立对受害者环境的持久访问并且保持不被发现。

成功利用 TeamCity 漏洞后，该组织部署了一个名为 HazyLoad 的代理工具，以在受感染的主机和攻击者控制的基础设施之间建立持久连接。

如何防御这些威胁

Microsoft 为使用 TeamCity 的组织制定了一系列行动来预防和应对这些攻击，包括：

• 应用包含修复程序的 TeamCity 2023.05.4 更新。还创建了适用于旧版 TeamCity 版本 (8.0+) 的插件。
• 使用防病毒工具快速识别并阻止新的和未知的威胁
• 分析 Microsoft 的危害迹象 (IOC) 列表，以帮助调查攻击者是否危害了您的环境。
• 阻止来自 IOC 列表中指定的 IP 的入站流量。
• 如果发现设备上启动了恶意代码，请立即隔离系统并重置凭据和令牌。
• 使用受感染的帐户之一调查设备时间线以查找横向移动活动的迹象。