Hackers atacam MITRE
27 de Maio de 2024

A MITRE Corporation revelou que o ataque cibernético direcionado à empresa sem fins lucrativos no final de dezembro de 2023, explorando falhas zero-day no Ivanti Connect Secure (ICS), envolveu o ator de ameaças criando máquinas virtuais (VMs) não autorizadas dentro do seu ambiente VMware.

"O adversário criou suas próprias VMs não autorizadas dentro do ambiente VMware, aproveitando o acesso comprometido ao vCenter Server," disseram os pesquisadores da MITRE, Lex Crumpton e Charles Clancy.

"Eles escreveram e implantaram um web shell JSP (BEEFLUSH) sob o servidor Tomcat do vCenter Server para executar uma ferramenta de túnel baseada em Python, facilitando conexões SSH entre as VMs criadas pelo adversário e a infraestrutura do hipervisor ESXi."

O motivo por trás de tal ação é contornar a detecção, obscurecendo suas atividades maliciosas das interfaces de gerenciamento centralizadas como o vCenter e manter acesso persistente enquanto reduz o risco de ser descoberto.

Detalhes do ataque surgiram no mês passado quando a MITRE revelou que o ator de ameaça com nexos na China -- monitorado pela Mandiant, de propriedade do Google, sob o nome UNC5221 -- violou seu Ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) explorando duas falhas no ICS, CVE-2023-46805 e CVE-2024-21887.

Ao contornar a autenticação multifator e ganhar um ponto de apoio inicial, o adversário moveu-se lateralmente através da rede e aproveitou uma conta de administrador comprometida para assumir o controle da infraestrutura VMware e implantar vários backdoors e web shells para reter acesso e colher credenciais.

Isso consistiu em um backdoor baseado em Golang codinomeado BRICKSTORM que estava presente dentro das VMs não autorizadas e dois web shells referidos como BEEFLUSH e BUSHWALK, permitindo que o UNC5221 executasse comandos arbitrários e se comunicasse com servidores de comando e controle.

"O adversário também usou uma conta VMware padrão, VPXUSER, para fazer sete chamadas API que enumeraram uma lista de drives montados e desmontados," disse a MITRE.

VMs não autorizadas operam fora dos processos padrão de gerenciamento e não aderem às políticas de segurança estabelecidas, tornando-as difíceis de detectar e gerenciar apenas através da GUI.

Em vez disso, precisa-se de ferramentas ou técnicas especiais para identificar e mitigar eficazmente os riscos associados a VMs não autorizadas.

Uma contramedida eficaz contra os esforços furtivos dos atores de ameaças para contornar a detecção e manter acesso é habilitar o boot seguro, que impede modificações não autorizadas verificando a integridade do processo de inicialização.

A empresa disse que também está disponibilizando dois scripts PowerShell denominados Invoke-HiddenVMQuery e VirtualGHOST para ajudar a identificar e mitigar ameaças potenciais dentro do ambiente VMware.

"À medida que os adversários continuam a evoluir suas táticas e técnicas, é imperativo que as organizações permaneçam vigilantes e adaptativas na defesa contra ameaças cibernéticas," disse a MITRE.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...