Hackers chineses invadem rede da MITRE
8 de Maio de 2024

A MITRE Corporation forneceu mais detalhes sobre o ataque cibernético recentemente divulgado, afirmando que a primeira evidência da intrusão data agora de 31 de dezembro de 2023.

O ataque, que veio à tona no mês passado, mirou especificamente o ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) da MITRE através da exploração de duas vulnerabilidades zero-day do Ivanti Connect Secure, rastreadas como CVE-2023–46805 e CVE-2024–21887, respectivamente.

"O adversário manobrou dentro da rede de pesquisa via infraestrutura da VMware usando uma conta de administrador comprometida, e então empregou uma combinação de backdoors e web shells para manter persistência e coletar credenciais," disse a MITRE.

Embora a organização tenha previamente divulgado que os atacantes realizaram reconhecimento de suas redes a partir de janeiro de 2024, a mais recente análise técnica detalhada coloca os primeiros sinais de comprometimento no final de dezembro de 2023, com o adversário instalando um web shell baseado em Perl chamado ROOTROT para acesso inicial.

ROOTROT, segundo a Mandiant de propriedade da Google, está incorporado em um arquivo .ttc do Connect Secure legítimo localizado em "/data/runtime/tmp/tt/setcookie.thtml.ttc" e é o trabalho de um grupo de espionagem cibernética de nexo com a China apelidado de UNC5221, que também está ligado a outros web shells como BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.

Após a implantação do web shell, o ator de ameaça perfilou o ambiente NERVE e estabeleceu comunicação com múltiplos hosts ESXi, estabelecendo finalmente controle sobre a infraestrutura VMware da MITRE e instalando um backdoor em Golang chamado BRICKSTORM e um web shell anteriormente não documentado referido como BEEFLUSH.

"Essas ações estabeleceram acesso persistente e permitiram ao adversário executar comandos arbitrários e comunicar-se com servidores de comando e controle," explicou o pesquisador da MITRE, Lex Crumpton.

O adversário utilizou técnicas como manipulação de SSH e execução de scripts suspeitos para manter controle sobre os sistemas comprometidos.

Análises adicionais determinaram que o ator de ameaça também implantou outro web shell conhecido como WIREFIRE (também conhecido como GIFTEDVISITOR) um dia após a divulgação pública das duas falhas em 11 de janeiro de 2024, para facilitar a comunicação encoberta e a exfiltração de dados.

Além de usar o web shell BUSHWALK para transmitir dados da rede NERVE para a infraestrutura de comando e controle em 19 de janeiro de 2024, diz-se que o adversário tentou movimento lateral e manteve persistência dentro do NERVE de fevereiro até meados de março.

"O adversário executou um comando ping para um dos controladores de domínio corporativos da MITRE e tentou mover-se lateralmente para os sistemas da MITRE, mas não obteve sucesso," disse Crumpton.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...