A Corporação MITRE revelou que o ataque cibernético direcionado à empresa sem fins lucrativos no final de dezembro de 2023, aproveitando falhas zero-day no Ivanti Connect Secure (ICS), envolveu o ator ameaçador criando máquinas virtuais (VMs) fraudulentas dentro de seu ambiente VMware.

“O adversário criou suas próprias VMs fraudulentas dentro do ambiente VMware, aproveitando o acesso comprometido ao vCenter Server,” disseram os pesquisadores da MITRE, Lex Crumpton e Charles Clancy.

“Eles escreveram e implantaram um shell web JSP (BEEFLUSH) sob o servidor Tomcat do vCenter Server para executar uma ferramenta de tunelamento baseada em Python, facilitando conexões SSH entre as VMs criadas pelo adversário e a infraestrutura do hipervisor ESXi.”

O motivo por trás de tal movimento é contornar a detecção obscurecendo suas atividades maliciosas das interfaces de gerenciamento centralizadas como o vCenter e manter acesso persistente, reduzindo o risco de ser descoberto.

Detalhes do ataque surgiram no mês passado quando a MITRE revelou que o ator de ameaça com conexão à China – rastreado pela Mandiant, de propriedade do Google, sob o nome UNC5221 – invadiu seu Ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) explorando duas falhas do ICS, CVE-2023-46805 e CVE-2024-21887.

Após burlar a autenticação de múltiplos fatores e obter uma posição inicial, o adversário moveu-se lateralmente pela rede e alavancou uma conta de administrador comprometida para assumir o controle da infraestrutura VMware e implantar vários backdoors e shells web para manter acesso e coletar credenciais.

“O adversário também utilizou uma conta padrão da VMware, VPXUSER, para efetuar sete chamadas de API que enumeraram uma lista de unidades montadas e desmontadas,” disse a MITRE.

“As VMs fraudulentas operam fora dos processos de gerenciamento padrão e não se conformam com as políticas de segurança estabelecidas, tornando-as difíceis de detectar e gerenciar apenas através da interface gráfica. Em vez disso, é necessário usar ferramentas ou técnicas especiais para identificar e mitigar os riscos associados às VMs fraudulentas de forma eficaz.”

Uma contramedida eficaz contra os esforços dissimulados dos atores ameaçadores para contornar a detecção e manter acesso é habilitar o boot seguro, que previne modificações não autorizadas verificando a integridade do processo de inicialização.

A empresa também está disponibilizando dois scripts PowerShell chamados Invoke-HiddenVMQuery e VirtualGHOST para ajudar a identificar e mitigar ameaças potenciais dentro do ambiente VMware.

“À medida que os adversários continuam a evoluir suas táticas e técnicas, é imperativo que as organizações permaneçam vigilantes e adaptáveis na defesa contra ameaças cibernéticas,” disse a MITRE.