北朝鲜黑客利用TeamCity漏洞进行攻击

关键要点

• 北朝鲜的威胁组织“Diamond Sleet”和“Onyx Sleet”正在利用TeamCity的漏洞（CVE-2023-42793）发起攻击。
• 相关工具和技术被用于入侵后，追踪形成的后门使得持续访问和获取敏感资料成为可能。
• 这两组黑客采取了不同的手段，包括创建新用户账号以及利用管理员权限窃取凭证和浏览器数据。
• 这起事件发生在“Diamond Sleet”黑客被发现之前已经瞄准开源软件的几周之后。

近期，针对JetBrainsTeamCity持续集成和部署服务器的攻击，成为安全专家们关注的焦点。这一漏洞被追踪为CVE-2023-42793，已引起北朝鲜国家支持的威胁组织“DiamondSleet”和“Onyx Sleet”的利用。根据网络安全公司Recorded Future旗下新闻网站TheRecord的报道，这两组黑客在成功入侵后使用了不同的工具和技术，实施了持续性的攻击。

根据微软的报告，Diamond Sleet和OnyxSleet采用了后门技术来获取系统的持久访问权限，同时创建新的具有管理员权限的用户账户，从而加大了凭证和浏览器数据的窃取力度。值得注意的是，这一发现是在“DiamondSleet”关联的黑客被微软指出正在针对开源软件的几周后披露的。

此外，曾经有多家组织遭到过Diamond Sleet的攻击，尤其是在俄罗斯地区。而OnyxSleet则与两年前针对小型企业的H0lyGh0st勒索软件相关的攻击活动有关，同时也涉及针对金融和制造业组织的入侵行为。

这种针对TeamCity的重要漏洞的攻击，反映了当前网络安全环境中的威胁与挑战。组织需要加强对这种持续性攻击手段的防范措施，以保护其信息安全与业务连续性。