ABD ve İngiltere siber kurumlar bugün APT29 hackerlarının Rusya'nın Dış İstihbarat Servisi'ne (SVR) bağlantılı olduğu konusunda savunmasız Zimbra ve Jetbrains TeamCity sunucularını "kitle ölçeğinde" hedeflediği konusunda uyardı.
NSA, FBI, ABD Siber Komutanlığı'nın Siber Ulusal Misyon Gücü (CNMF) tarafından yayınlanan ortak bir danışma ve İngiltere'nin NCSC'si, şebeke savunucularını bu devam eden saldırıları engellemek için açık sunucuları yamaya teşvik ediyor.
Dört siber ajans, hackleme grubunun, CVE-2022-27924 ve CVE-2023-42793 istismarlarını kullanarak dünya çapında kurbanları hedeflemek için "kitlesel bir ölçekte" çevrimiçi olarak maruz kalan Zimbra ve TeamCity sunucularını hedeflediğini söyledi.
CVE-2022-27924, en azından Ağustos 2022'den bu yana, açılmamış Zimbra işbirliği örneklerinden e-posta hesabı kimlik bilgilerini çalmak için kullanılmıştır, CVE-2023-42793, hem fidye yazılımı çeteleri hem de Kuzey Koreli hack grupları tarafından başlangıç erişimine ve tedarik-zincir saldırıları denenmiştir. .
"SVR siber aktörlerin TTP'lerine ve önceki hedeflemeye dayanarak, yazarlık ajansları, başlangıç erişim, uzaktan kod yürütme ve ayrıcalık artışı için ek CVES'ten yararlanma yeteneğine ve ilgine sahip olduklarını değerlendirmektedir."
Danışmanlık, son altı yılda açıklanan ve sabitlenen iki düzine güvenlik açığını listeliyor ve savunuculardan güvenlik yamaları dağıtmalarını ve güvenlik ihlallerini önlemek için hafifletmeler uygulamalarını istiyor.
Ayrıca rahat ayı, gece yarısı Blizzard (eski adıyla Nobelium) ve Dükler olarak izlenen bu SVR hack grubu, yıllardır ABD ve Avrupa'daki hükümet ve özel kuruluşları hedefliyor.
NSA, FBI ve CISA, APT29 hackerlarının düzenledikleri Solarwinds tedarik zinciri saldırısını takiben birden fazla ABD federal ajansını ihlal ettikten sonra, üç yıldan fazla bir süre önce benzer bir danışmanlık yayınladılar.
Ayrıca, dış politika ile ilgili verileri çalmak için Nato Nations'ın Microsoft 365 hesaplarına hacklediler ve Kasım 2023'te Microsoft yöneticilerinin ve diğer şirketlerin değişim çevrimiçi hesaplarını ihlal ettiler.
Daha yakın zamanlarda, Beş Göz (Fvey) İstihbarat İttifakı Şubat ayında APT29'un potansiyel kurbanların bulut hizmetlerini hedeflemeye başladığı konusunda uyardı.
NSA Siber Güvenlik Direktörü Dave Luber, "Bu faaliyet hükümet ve özel sektörler için küresel bir tehdittir ve yamalara öncelik vermek ve yazılımı güncel tutmak da dahil olmak üzere güvenlik kontrollerinin kapsamlı bir şekilde gözden geçirilmesini gerektiriyor." Dedi.
"Güncellenmiş rehberliğimiz, ağ savunucularının bu müdahaleleri algılamalarına ve sistemlerini güvence altına almak için adımlar atmalarına yardımcı olacak."
ABD Yaptırımları Rus fidye yazılımı çeteleri tarafından kullanılan kripto borsaları
ABD, Çin, Rusya'dan Bağlı Araç Teknolojisine Yasak Öneriyor
Rus APT29 Hacker'ları IOS, casus yazılım satıcıları tarafından oluşturulan krom istismarları kullanıyor
Fidelity Investments, veri ihlalinin 77.000'den fazla kişiyi etkilediğini söylüyor
Ukrayna, Runet'e erişim sağlayan Rogue VPN operatörünü tutukladı
Kaynak: Bleeping Computer