Οι υπηρεσίες του κυβερνοχώρου των ΗΠΑ και του Ηνωμένου Βασιλείου προειδοποίησαν σήμερα ότι οι χάκερ APT29 που συνδέονται με την Υπηρεσία Εξωτερικών Πληροφοριών της Ρωσίας (SVR) στοχεύουν ευάλωτους διακομιστές Zimbra και JetBrains TeamCity «σε μαζική κλίμακα».
Μια κοινή συμβουλευτική που εκδόθηκε από την NSA, το FBI, την Cyber National Mission Force (CNMF) της αμερικανικής κυβερνητικής διοίκησης και το NCSC του Ηνωμένου Βασιλείου προειδοποιεί τους υπερασπιστές του δικτύου να επιδιορθώσουν τους εκτεθειμένους διακομιστές για να μπλοκάρουν αυτές τις συνεχιζόμενες επιθέσεις.
Οι τέσσερις κυβερνητικοί οργανισμοί είπαν ότι η ομάδα hacking στοχεύει μη επιδιορθωμένους διακομιστές Zimbra και TeamCity που εκτίθενται στο διαδίκτυο “σε μαζική κλίμακα για να στοχεύουν θύματα παγκοσμίως σε διάφορους τομείς” χρησιμοποιώντας εκμεταλλεύσεις CVE-2022-27924 και CVE-2023-42793.
Το CVE-2022-27924 έχει γίνει αντικείμενο εκμετάλλευσης τουλάχιστον από τον Αύγουστο του 2022 για την κλοπή διαπιστευτηρίων λογαριασμών email από μη επιδιορθωμένα στιγμιότυπα της Συνεργασίας Zimbra, ενώ το CVE-2023-42793 αξιοποιήθηκε τόσο από συμμορίες ransomware όσο και από ομάδες hacking της Βόρειας Κορέας για αρχική πρόσβαση και απόπειρες επιθέσεων σε προμήθειες. .
“Με βάση τα TTP των φορέων του κυβερνοχώρου SVR και την προηγούμενη στόχευση, οι εταιρείες σύνταξης εκτιμούν ότι έχουν τη δυνατότητα και το ενδιαφέρον να εκμεταλλευτούν πρόσθετα CVE για αρχική πρόσβαση, απομακρυσμένη εκτέλεση κώδικα και κλιμάκωση προνομίων.” πρόσθεσαν.
Η συμβουλή απαριθμεί δύο ντουζίνες ευπάθειες που αποκαλύφθηκαν και επιδιορθώθηκαν τα τελευταία έξι χρόνια και ζητά από τους υπερασπιστές να αναπτύξουν ενημερώσεις κώδικα ασφαλείας και να εφαρμόσουν μέτρα μετριασμού για την πρόληψη παραβιάσεων ασφαλείας.
Ακολουθείται επίσης ως Cozy Bear, Midnight Blizzard (πρώην Nobelium) και οι Dukes, αυτή η ομάδα hacking SVR στοχεύει κυβερνητικούς και ιδιωτικούς οργανισμούς σε όλες τις Ηνωμένες Πολιτείες και την Ευρώπη εδώ και χρόνια.
Η NSA, το FBI και η CISA εξέδωσαν παρόμοια συμβουλή πριν από περισσότερα από τρία χρόνια, τον Απρίλιο του 2021, αφού οι χάκερ APT29 παραβίασαν πολλές ομοσπονδιακές υπηρεσίες των ΗΠΑ μετά την επίθεση στην αλυσίδα εφοδιασμού της SolarWinds που ενορχήστρωσαν.
Εισέβαλαν επίσης τους λογαριασμούς Microsoft 365 των χωρών του ΝΑΤΟ για να κλέψουν δεδομένα που σχετίζονται με την εξωτερική πολιτική και παραβίασαν τους λογαριασμούς Exchange Online των στελεχών της Microsoft και άλλων εταιρειών τον Νοέμβριο του 2023.
Πιο πρόσφατα, η συμμαχία πληροφοριών Five Eyes (FVEY) προειδοποίησε τον Φεβρουάριο ότι η APT29 είχε επίσης αρχίσει να στοχεύει σε υπηρεσίες cloud πιθανών θυμάτων.
“Αυτή η δραστηριότητα αποτελεί παγκόσμια απειλή για την κυβέρνηση και τον ιδιωτικό τομέα και απαιτεί ενδελεχή επανεξέταση των ελέγχων ασφαλείας, συμπεριλαμβανομένης της ιεράρχησης των ενημερώσεων κώδικα και της ενημέρωσης του λογισμικού.” είπε Ο διευθυντής κυβερνοασφάλειας της NSA, Dave Luber.
“Η ενημερωμένη καθοδήγησή μας θα βοηθήσει τους υπερασπιστές του δικτύου να εντοπίσουν αυτές τις εισβολές και να διασφαλίσουν ότι λαμβάνουν μέτρα για την ασφάλεια των συστημάτων τους.”
VIA: bleepingcomputer.com
