Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило совместное правительственное предупреждение, соавторами которого являются ФБР, НСА, Военная контрразведка Польши, CERT Polska и Национальный центр кибербезопасности Великобритании, предупреждающее пользователей об этой эксплуатации. Это предупреждение последовало за предыдущим отчетом о том, что северокорейские актеры угроз также эксплуатировали эту уязвимость.
Обе группы государственных актеров, получив доступ через уязвимость обхода аутентификации сервера TeamCity, развернули бэкдоры для поддержания присутствия в скомпрометированных сетях. В предупреждении подчеркивается постоянная угроза, исходящая от операций, спонсируемых российским государством, для сетей глобальных общественных и частных организаций.
Cozy Bear, также известный как APT29 и Nobelium/Midnight Blizzard, связан со Службой внешней разведки России (СВР) и ответственен за несколько известных атак, включая нарушение SolarWinds в 2020 году, затронувшее агентства федерального правительства США.
С сентября Cozy Bear скомпрометировал несколько десятков компаний, и было выявлено более 100 скомпрометированных устройств. Реальное количество пострадавших организаций, вероятно, выше. Жертвами стали энергетическая торговая ассоциация и поставщики программного обеспечения в различных секторах, включая выставление счетов, медицинские устройства, обслуживание клиентов, мониторинг сотрудников, финансовое управление, маркетинг, продажи и видеоигры. Также затронуты компании в сфере хостинга и ИТ.
Source: TechTarget
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.