A MITRE Corporation forneceu mais detalhes sobre o ataque cibernético recentemente divulgado, afirmando que a primeira evidência da intrusão data agora de 31 de dezembro de 2023.
O ataque, que veio à tona no mês passado, mirou especificamente o ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) da MITRE através da exploração de duas vulnerabilidades zero-day do Ivanti Connect Secure, rastreadas como CVE-2023–46805 e CVE-2024–21887, respectivamente.
"O adversário manobrou dentro da rede de pesquisa via infraestrutura da VMware usando uma conta de administrador comprometida, e então empregou uma combinação de backdoors e web shells para manter persistência e coletar credenciais," disse a MITRE.
Embora a organização tenha previamente divulgado que os atacantes realizaram reconhecimento de suas redes a partir de janeiro de 2024, a mais recente análise técnica detalhada coloca os primeiros sinais de comprometimento no final de dezembro de 2023, com o adversário instalando um web shell baseado em Perl chamado ROOTROT para acesso inicial.
ROOTROT, segundo a Mandiant de propriedade da Google, está incorporado em um arquivo .ttc do Connect Secure legítimo localizado em "/data/runtime/tmp/tt/setcookie.thtml.ttc" e é o trabalho de um grupo de espionagem cibernética de nexo com a China apelidado de UNC5221, que também está ligado a outros web shells como BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.
Após a implantação do web shell, o ator de ameaça perfilou o ambiente NERVE e estabeleceu comunicação com múltiplos hosts ESXi, estabelecendo finalmente controle sobre a infraestrutura VMware da MITRE e instalando um backdoor em Golang chamado BRICKSTORM e um web shell anteriormente não documentado referido como BEEFLUSH.
"Essas ações estabeleceram acesso persistente e permitiram ao adversário executar comandos arbitrários e comunicar-se com servidores de comando e controle," explicou o pesquisador da MITRE, Lex Crumpton.
O adversário utilizou técnicas como manipulação de SSH e execução de scripts suspeitos para manter controle sobre os sistemas comprometidos.
Análises adicionais determinaram que o ator de ameaça também implantou outro web shell conhecido como WIREFIRE (também conhecido como GIFTEDVISITOR) um dia após a divulgação pública das duas falhas em 11 de janeiro de 2024, para facilitar a comunicação encoberta e a exfiltração de dados.
Além de usar o web shell BUSHWALK para transmitir dados da rede NERVE para a infraestrutura de comando e controle em 19 de janeiro de 2024, diz-se que o adversário tentou movimento lateral e manteve persistência dentro do NERVE de fevereiro até meados de março.
"O adversário executou um comando ping para um dos controladores de domínio corporativos da MITRE e tentou mover-se lateralmente para os sistemas da MITRE, mas não obteve sucesso," disse Crumpton.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...