CVE-2023-42793 Detection: Large-Scale Exploitation of the JetBrains TeamCity Vulnerability by the russian Foreign Intelligence Service
목차:
미국 및 국제 사이버 보안 당국과 협력하여 FBI와 CISA는 CVE-2023-42793, JetBrains TeamCity의 잠재적인 원격 코드 실행(RCE)을 초래할 수 있는 치명적인 취약점의 대규모 악용에 대해 글로벌 사이버 방어 커뮤니티에 경고합니다. 관련 사이버 보안 경고 AA23-347A는 현재 진행 중인 사이버 공격 운영을 악명 높은 APT29 해킹 집단에 의해 진행되는 것으로 설명합니다.
CVE-2023-42793 탐지
세계가 글로벌 사이버 전쟁의 기로에 서 있는 가운데, 사이버 방어자들은 협력하여 더욱 적극적으로 대처함으로써 증가하는 위협의 양을 견뎌낼 수 있는 방법을 모색하고 있습니다. SOC Prime의 집단 사이버 방어를 위한 플랫폼으로 무장한 보안 실무자들은 항상 광범위한 메타데이터로 강화된 신규 위협에 대한 큐레이션된 콘텐츠를 얻을 수 있습니다.
JetBrains TeamCity 소프트웨어의 CVE-2023-42793 취약점을 활용한 SVR 관련 공격의 최전선에 서기 위해, SOC Prime 플랫폼은 사용 중인 SIEM, EDR, XDR 또는 데이터 레이크 솔루션과 호환되는 18개의 탐지 규칙 세트를 제공합니다. 모든 규칙은 MITRE ATT&CK 프레임워크 에 매핑되고, CTI 링크, 미디어 참고, 분류 추천서 등 상세한 메타데이터로 강화됩니다. 아래의 탐지 탐색 버튼을 눌러 큐레이션된 탐지 스택을 깊이 살펴보세요.
위협 조사 흐름을 간편화하고 탐지 엔지니어링 작업을 강화하기 위해 보안 전문가들은 Uncoder AI를 활용할 수 있습니다. 해당 경고의 포렌식 데이터를 붙이고 번역 버튼을 누르면 선택한 보안 솔루션에서 실행할 수 있는 맞춤형 검색 쿼리를 얻을 수 있습니다.
안전한 내일을 위한 사이버 방어자 대열에 합류하고 싶나요? 등록하여 SOC Prime 위협 보상 프로그램 에 참여하고 귀하의 탐지 규칙을 제출하며 귀하의 미래 이력서를 코딩하고 업계 전문가와 네트워크를 형성하며 기여에 대한 정기적인 보상을 받을 수 있습니다.
CVE-2023-42793 분석: 사이버 보안 자문에서 다루는 JetBrains TeamCity 취약점 악용
러시아 국가 지원 해킹 집단에 의해 개시된 대규모 사이버 공격은 우크라이나와 그 동맹국을 대상으로 한 집단 공격 활동의 일환으로 규모와 정교함이 증가하고 있습니다. 2023년 12월 13일, FBA, CISA 및 NSA는 미국과 국제 파트너와 협력하여, 새로운 사이버 보안 경고 를 발행하였습니다. 이 경고는 JetBrains TeamCity 서버에서 CVE-2023-42793으로 추적되는 치명적인 취약점을 무기화한 진행 중인 공격을 다루고 있습니다. 발견된 보안 결함은 CVSS 점수가 9.8에 달하는 인증 우회 취약점으로 2023.05.4 이전의 소프트웨어 버전에 영향을 미칩니다. 현재의 캠페인에서 CISA 및 파트너들은 미국, 유럽, 아시아, 호주 등 여러 곳에서 100개 이상의 TeamCity 서버가 손상된 여러 기업을 발견했습니다.
악명 높은 APT29 그룹, Dukes로 알려진 (일명 Cozy Bear, NOBELIUM, 또는 Midnight Blizzard), 이는 모스크바의 지정학적 목표에 따라 운영되는 러시아 SVR과 관련된 비밀 해킹 부서로, 2023년 9월부터 JetBrains TeamCity 소프트웨어를 호스팅하는 서버를 공격하는 현재의 공격 캠페인과 연결되어 있습니다.
최소한 2013년부터 SVR 사이버 작전은 기밀 데이터 및 독점 정보를 도용하고 외국 정보를 수집하기 위해 글로벌 조직들을 심각한 위협에 노출시키고 있습니다. 기술 기업들 또한 침략자의 공격 캠페인에서 흔히 목표물이 됩니다.
TeamCity 서버를 호스팅하는 네트워크를 대상으로 한 최신 공격에서 SVR은 다시 기술 부문에 주목하고 있습니다. CVE-2023-42793을 악용함으로써 SVR은 특히 소프트웨어 개발자의 네트워크를 통해 피해자에게 접근할 수 있습니다. JetBrains는 인터넷에 노출된 패치되지 않은 TeamCity 서버의 악용을 제한하기 위해 2023년 9월 중순에 이 보안 결함에 대한 패치를 릴리스했습니다. 최신 경고에 따르면, SVR은 네트워크 타격을 위한 소프트웨어 개발자에 대한 접근을 아직 활용하지 않았으며 여전히 공격 준비 단계에 있는 것으로 보입니다.
CVE-2023-42793의 성공적인 악용은 취약한 서버에서 인증 우회를 초래하고 후속적인 임의 코드 실행을 가능케 합니다. 위협 행위자는 또한 호스트 정찰 및 파일 탈저수도, 지속성을 보장하기 위한 예약 작업 활용 및 탐지를 회피하기 위한 기술 세트를 사용하는 것이 관찰되었습니다. 안전한 발판을 구축하고 영향을 받은 TeamCity 서버를 조사한 후, 적들은 포트 스캐너 및 PowerSploit과 같은 내장 명령과 보조 도구의 결합을 활용하여 네트워크 정찰에 집중했습니다. 관찰된 캠페인 기간 동안 해커들은 GraphicalProton 및 그 HTTPS 변형을 포함한 사용자 정의 및 오픈 소스 공격 유틸리티 및 백도어를 사용했습니다.
As CVE-2023-42793에 대한 잠재적 완화 조치로 JetBrains TeamCity 고객들은 서버를 소프트웨어 버전 2023.05.4로 업데이트할 것을 권장합니다. 대안으로, 서버를 즉시 업데이트하는 데 문제가 있는 사용자들에게는 워크어라운드로 보안 패치 플러그인을 활용할 수 있습니다.
러시아 공격 부대가 주도하는 대규모 캠페인과 같은 국가 지원 해킹 그룹과 관련된 사이버 공격의 증가는 사이버 보안 방어를 강화해야 하는 긴급성을 강조합니다. 위협 탐지 마켓플레이스를 탐색하여 위험을 탐지하기 위한 SOC 콘텐츠 큐레이션 목록을 얻으십시오 어떤 규모와 정교함의 APT 공격도 탐지할 수 있습니다.
