Você está visualizando atualmente Hackers Criaram Máquinas Virtuais Corrompidas para Evadir Detecção no Recente Ataque Cibernético MITRE

Hackers Criaram Máquinas Virtuais Corrompidas para Evadir Detecção no Recente Ataque Cibernético MITRE

A corporação MITRE revelou que o ataque cibernético direcionado à empresa sem fins lucrativos no final de dezembro de 2023, explorando falhas zero-day no Ivanti Connect Secure (ICS), envolveu o ator de ameaças criando máquinas virtuais (VMs) falsas em seu ambiente VMware.

“O adversário criou suas próprias VMs falsas dentro do ambiente VMware, utilizando o acesso comprometido ao vCenter Server”, disseram os pesquisadores da MITRE, Lex Crumpton e Charles Clancy.

“Abriram e implantaram um shell web JSP (BEEFLUSH) sob o servidor Tomcat do vCenter Server para executar uma ferramenta de tunelamento baseada em Python, facilitando conexões SSH entre as VMs criadas pelo adversário e a infraestrutura do hipervisor ESXi.”

O objetivo por trás dessa ação é contornar a detecção obscurecendo suas atividades maliciosas das interfaces de gerenciamento centralizado como o vCenter e manter o acesso persistente, reduzindo o risco de ser descoberto.

Detalhes do ataque surgiram no mês passado, quando a MITRE revelou que o ator de ameaças com nexo na China – rastreado pela Mandiant, do Google, sob o nome UNC5221 – invadiu seu Ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) explorando duas falhas ICS, CVE-2023-46805 e CVE-2024-21887.

Após burlar a autenticação multifator e obter uma posição inicial, o adversário se moveu lateralmente pela rede e utilizou uma conta de administrador comprometida para assumir o controle da infraestrutura VMware e implantar diversos backdoors e shells web para manter acesso e coletar credenciais.

Isso consistia em um backdoor baseado em Golang, denominado BRICKSTORM, que estava presente nas VMs falsas e dois shells web denominados BEEFLUSH e BUSHWALK, permitindo que UNC5221 executasse comandos arbitrários e se comunicasse com servidores de comando e controle.

“O adversário também usou uma conta padrão do VMware, VPXUSER, para fazer sete chamadas de API que enumeraram uma lista de unidades montadas e desmontadas”, disse a MITRE.

“As VMs falsas operam fora dos processos padrão de gerenciamento e não seguem políticas de segurança estabelecidas, tornando-as difíceis de detectar e gerenciar apenas pela GUI. Em vez disso, é necessário ferramentas ou técnicas especiais para identificar e mitigar os riscos associados às VMs falsas de forma eficaz.”

Uma contramedida eficaz contra os esforços furtivos dos atores de ameaças de burlar a detecção e manter acesso é habilitar o boot seguro, que impede modificações não autorizadas verificando a integridade do processo de inicialização.

A empresa disse também que está disponibilizando dois scripts PowerShell chamados Invoke-HiddenVMQuery e VirtualGHOST para ajudar a identificar e mitigar possíveis ameaças dentro do ambiente VMware.

“À medida que os adversários continuam a evoluir suas táticas e técnicas, é imperativo que as organizações permaneçam vigilantes e adaptáveis na defesa contra ameaças cibernéticas”, disse a MITRE.