Hackers chineses invadem rede da MITRE
8 de Maio de 2024

A MITRE Corporation forneceu mais detalhes sobre o ataque cibernético recentemente divulgado, afirmando que a primeira evidência da intrusão data agora de 31 de dezembro de 2023.

O ataque, que veio à tona no mês passado, mirou especificamente o ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) da MITRE através da exploração de duas vulnerabilidades zero-day do Ivanti Connect Secure, rastreadas como CVE-2023–46805 e CVE-2024–21887, respectivamente.

"O adversário manobrou dentro da rede de pesquisa via infraestrutura da VMware usando uma conta de administrador comprometida, e então empregou uma combinação de backdoors e web shells para manter persistência e coletar credenciais," disse a MITRE.

Embora a organização tenha previamente divulgado que os atacantes realizaram reconhecimento de suas redes a partir de janeiro de 2024, a mais recente análise técnica detalhada coloca os primeiros sinais de comprometimento no final de dezembro de 2023, com o adversário instalando um web shell baseado em Perl chamado ROOTROT para acesso inicial.

ROOTROT, segundo a Mandiant de propriedade da Google, está incorporado em um arquivo .ttc do Connect Secure legítimo localizado em "/data/runtime/tmp/tt/setcookie.thtml.ttc" e é o trabalho de um grupo de espionagem cibernética de nexo com a China apelidado de UNC5221, que também está ligado a outros web shells como BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.

Após a implantação do web shell, o ator de ameaça perfilou o ambiente NERVE e estabeleceu comunicação com múltiplos hosts ESXi, estabelecendo finalmente controle sobre a infraestrutura VMware da MITRE e instalando um backdoor em Golang chamado BRICKSTORM e um web shell anteriormente não documentado referido como BEEFLUSH.

"Essas ações estabeleceram acesso persistente e permitiram ao adversário executar comandos arbitrários e comunicar-se com servidores de comando e controle," explicou o pesquisador da MITRE, Lex Crumpton.

O adversário utilizou técnicas como manipulação de SSH e execução de scripts suspeitos para manter controle sobre os sistemas comprometidos.

Análises adicionais determinaram que o ator de ameaça também implantou outro web shell conhecido como WIREFIRE (também conhecido como GIFTEDVISITOR) um dia após a divulgação pública das duas falhas em 11 de janeiro de 2024, para facilitar a comunicação encoberta e a exfiltração de dados.

Além de usar o web shell BUSHWALK para transmitir dados da rede NERVE para a infraestrutura de comando e controle em 19 de janeiro de 2024, diz-se que o adversário tentou movimento lateral e manteve persistência dentro do NERVE de fevereiro até meados de março.

"O adversário executou um comando ping para um dos controladores de domínio corporativos da MITRE e tentou mover-se lateralmente para os sistemas da MITRE, mas não obteve sucesso," disse Crumpton.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...