Você está visualizando atualmente Hackers Criaram Máquinas Virtuais Ilegítimas para Evitar Detecção em Recente Ataque Cibernético do MITRE

Hackers Criaram Máquinas Virtuais Ilegítimas para Evitar Detecção em Recente Ataque Cibernético do MITRE

A corporação MITRE revelou que o ataque cibernético direcionado à empresa sem fins lucrativos no final de dezembro de 2023, explorando falhas zero-day no Ivanti Connect Secure (ICS), envolveu a criação pelo ator de ameaças de máquinas virtuais (VMs) dentro de seu ambiente VMware.

“O adversário criou suas próprias VMs dentro do ambiente VMware, aproveitando o acesso comprometido ao vCenter Server”, disseram os pesquisadores da MITRE, Lex Crumpton e Charles Clancy.

“Escreveram e implantaram um shell web JSP (BEEFLUSH) sob o servidor Tomcat do vCenter Server para executar uma ferramenta de tunelamento baseada em Python, facilitando conexões SSH entre as VMs criadas pelo adversário e a infraestrutura do hipervisor ESXi.”

O motivo por trás desse movimento é contornar a detecção obscurecendo suas atividades maliciosas das interfaces de gerenciamento centralizado como o vCenter e manter acesso persistente reduzindo o risco de ser descoberto.

Detalhes do ataque surgiram no mês passado, quando a MITRE revelou que o ator de ameaças da China-nexus – rastreado pela Mandiant, de propriedade do Google, sob o nome UNC5221 – invadiu seu Ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) explorando duas falhas do ICS CVE-2023-46805 e CVE-2024-21887.

Após burlar a autenticação multifatorial e obter uma posição inicial, o adversário se movimentou lateralmente pela rede e alavancou uma conta de administrador comprometida para assumir o controle da infraestrutura VMware e implantar vários backdoors e web shells para manter acesso e coletar credenciais.

Isso consistia em um backdoor baseado em Golang chamado BRICKSTORM que estava embutido nas VMs falsas e dois web shells chamados BEEFLUSH e BUSHWALK, permitindo ao UNC5221 executar comandos arbitrários e se comunicar com servidores de comando e controle.

“O adversário também usou uma conta padrão do VMware, VPXUSER, para fazer sete chamadas de API que enumeraram uma lista de unidades montadas e desmontadas”, disse a MITRE.

“As VMs falsas operam fora dos processos de gerenciamento padrão e não se enquadram nas políticas de segurança estabelecidas, tornando-as difíceis de detectar e gerenciar apenas pela GUI. Em vez disso, é necessário ferramentas ou técnicas especiais para identificar e mitigar os riscos associados às VMs falsas de forma eficaz.”

Uma medida eficaz contra os esforços furtivos dos atores de ameaça de contornar a detecção e manter acesso é habilitar a inicialização segura, que impede modificações não autorizadas verificando a integridade do processo de inicialização.

A empresa disse que também está disponibilizando dois scripts do PowerShell chamados Invoke-HiddenVMQuery e VirtualGHOST para ajudar a identificar e mitigar possíveis ameaças no ambiente VMware.

“À medida que os adversários continuam a evoluir suas táticas e técnicas, é imperativo que as organizações permaneçam vigilantes e adaptáveis na defesa contra ameaças cibernéticas”, disse a MITRE.