В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют Auth­By­pass — Team­C­i­ty (CVE-2024–27198, CVE-2024–27199). Напомню, что информация об уязвимости вышла на первой неделе марта вместе с подробным описанием от компании Rapid7. Благодаря этому описанию, скрипт для эксплуатации уязвимости появился на гитхабе всего через несколько часов. Скрипт очень простой и сводится к созданию аккаунта администратора одним запросом. Естественно после этого уязвимость начали активно эксплуатировать злоумышленники. 😈

Согласно Trend Micro, делают они это для:

🔻 Распространения программы-вымогателя Jas­min
🔻 Развертывания криптомайнера XMRig
🔻 Развертывания маяков Cobalt Strike
🔻 Развертывания бэкдора SparkRAT
🔻 Выполнения команд для закрепления в инфраструктуре (domain dis­cov­ery and per­sis­tence)

Для каждой цели эксплуатации приводят описание как именно это происходит.