A MITRE Corporation revelou que o ataque cibernético direcionado à empresa sem fins lucrativos no final de dezembro de 2023, explorando falhas zero-day no Ivanti Connect Secure (ICS), envolveu o ator de ameaças criando máquinas virtuais (VMs) não autorizadas dentro do seu ambiente VMware.
"O adversário criou suas próprias VMs não autorizadas dentro do ambiente VMware, aproveitando o acesso comprometido ao vCenter Server," disseram os pesquisadores da MITRE, Lex Crumpton e Charles Clancy.
"Eles escreveram e implantaram um web shell JSP (BEEFLUSH) sob o servidor Tomcat do vCenter Server para executar uma ferramenta de túnel baseada em Python, facilitando conexões SSH entre as VMs criadas pelo adversário e a infraestrutura do hipervisor ESXi."
O motivo por trás de tal ação é contornar a detecção, obscurecendo suas atividades maliciosas das interfaces de gerenciamento centralizadas como o vCenter e manter acesso persistente enquanto reduz o risco de ser descoberto.
Detalhes do ataque surgiram no mês passado quando a MITRE revelou que o ator de ameaça com nexos na China -- monitorado pela Mandiant, de propriedade do Google, sob o nome UNC5221 -- violou seu Ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) explorando duas falhas no ICS, CVE-2023-46805 e CVE-2024-21887.
Ao contornar a autenticação multifator e ganhar um ponto de apoio inicial, o adversário moveu-se lateralmente através da rede e aproveitou uma conta de administrador comprometida para assumir o controle da infraestrutura VMware e implantar vários backdoors e web shells para reter acesso e colher credenciais.
Isso consistiu em um backdoor baseado em Golang codinomeado BRICKSTORM que estava presente dentro das VMs não autorizadas e dois web shells referidos como BEEFLUSH e BUSHWALK, permitindo que o UNC5221 executasse comandos arbitrários e se comunicasse com servidores de comando e controle.
"O adversário também usou uma conta VMware padrão, VPXUSER, para fazer sete chamadas API que enumeraram uma lista de drives montados e desmontados," disse a MITRE.
VMs não autorizadas operam fora dos processos padrão de gerenciamento e não aderem às políticas de segurança estabelecidas, tornando-as difíceis de detectar e gerenciar apenas através da GUI.
Em vez disso, precisa-se de ferramentas ou técnicas especiais para identificar e mitigar eficazmente os riscos associados a VMs não autorizadas.
Uma contramedida eficaz contra os esforços furtivos dos atores de ameaças para contornar a detecção e manter acesso é habilitar o boot seguro, que impede modificações não autorizadas verificando a integridade do processo de inicialização.
A empresa disse que também está disponibilizando dois scripts PowerShell denominados Invoke-HiddenVMQuery e VirtualGHOST para ajudar a identificar e mitigar ameaças potenciais dentro do ambiente VMware.
"À medida que os adversários continuam a evoluir suas táticas e técnicas, é imperativo que as organizações permaneçam vigilantes e adaptativas na defesa contra ameaças cibernéticas," disse a MITRE.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...