近日，据外媒报道，微软警告称，自 2023 年 10 月初以来，两个威胁行为者Diamond Sleet 和 Onyx Sleet正在积极利用软件开发中使用的持续集成/持续部署（CI/CD）应用程序中的一个关键漏洞CVE-2023-42793。

该漏洞的 CVSS 严重等级为 9.8，影响组织用于 DevOps 和其他软件活动的多个版本的 JetBrains TeamCity 服务器。

Diamond Sleet 和 Onyx Sleet 此前曾通过渗透构建环境成功实施软件供应链攻击。因此，它评估此活动对受影响的组织构成“极高的风险”。

一旦攻击了 TeamCity 服务器，该组织就会部署“ForestTiger”恶意软件，在受攻击的服务器上执行命令。Diamond Sleet 使用的另一种攻击路径是利用受感染服务器上的 PowerShell 从攻击者基础设施下载恶意 DLL，以执行 DLL 搜索顺序劫持。

Onyx Sleet 的主要目标是韩国、美国和印度的国防和 IT 服务组织。它开发了一套工具，使其能够建立对受害者环境的持久访问并且保持不被发现。

成功利用 TeamCity 漏洞后，该组织部署了一个名为 HazyLoad 的代理工具，以在受感染的主机和攻击者控制的基础设施之间建立持久连接。

根据迄今为止受这些入侵影响的组织的概况，研究人员认为攻击者可能会趁机破坏易受攻击的服务器。“然而，两个攻击者都部署了恶意软件和工具，并利用了可能能够持续访问受害者环境的技术，”报告中写道。

微软强调了两个威胁行为者的不同焦点和方法。Diamond Sleet 主要针对世界各地的媒体、IT 服务和国防相关实体，其目的是从事间谍活动、数据盗窃、经济利益和网络破坏。