A Corporação MITRE revelou que o ataque cibernético direcionado à empresa sem fins lucrativos no final de dezembro de 2023, explorando falhas zero-day no Ivanti Connect Secure (ICS), envolveu o ator de ameaça criando máquinas virtuais (VMs) falsas em seu ambiente VMware. Os pesquisadores da MITRE, Lex Crumpton e Charles Clancy, afirmaram que o adversário criou suas próprias VMs falsas dentro do ambiente VMware, aproveitando o acesso comprometido ao Servidor vCenter. Eles escreveram e implantaram um shell web JSP (BEEFLUSH) sob o servidor Tomcat do vCenter para executar uma ferramenta de tunelamento baseada em Python, facilitando conexões SSH entre VMs criadas pelo adversário e a infraestrutura do hipervisor ESXi. O objetivo por trás desse movimento é evitar a detecção obscurecendo suas atividades maliciosas de interfaces de gerenciamento centralizadas como o vCenter e manter o acesso persistente, reduzindo o risco de ser descoberto. Detalhes do ataque surgiram no mês passado, quando a MITRE revelou que o ator de ameaça com ligações à China – rastreado pela Mandiant, de propriedade do Google, sob o nome UNC5221 – invadiu seu Ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) explorando duas falhas no ICS, CVE-2023-46805 e CVE-2024-21887. Ao contornar a autenticação multifator e obter uma posição inicial, o adversário avançou lateralmente pela rede e aproveitou uma conta de administrador comprometida para assumir o controle da infraestrutura VMware e implantar vários backdoors e shells web para manter o acesso e coletar credenciais. Isso incluiu um backdoor baseado em Golang chamado BRICKSTORM, que estava incorporado nas VMs falsas, e dois shells web chamados BEEFLUSH e BUSHWALK, permitindo ao UNC5221 executar comandos arbitrários e se comunicar com servidores de comando e controle. “O adversário também usou uma conta VMware padrão, VPXUSER, para fazer sete chamadas API que enumeraram uma lista de unidades montadas e desmontadas”, disse a MITRE. “As VMs falsas operam fora dos processos normais de gerenciamento e não aderem às políticas de segurança estabelecidas, tornando-as difíceis de detectar e gerenciar apenas através da GUI. Em vez disso, são necessárias ferramentas ou técnicas especiais para identificar e mitigar os riscos associados às VMs falsas de forma eficaz.” Uma contra-medida eficaz contra os esforços furtivos dos atores de ameaça para contornar a detecção e manter o acesso é habilitar a inicialização segura, que impede modificações não autorizadas verificando a integridade do processo de inicialização. A empresa disse que está disponibilizando dois scripts do PowerShell chamados Invoke-HiddenVMQuery e VirtualGHOST para ajudar a identificar e mitigar ameaças potenciais dentro do ambiente VMware. “À medida que os adversários continuam a evoluir suas táticas e técnicas, é imperativo que as organizações permaneçam vigilantes e adaptáveis na defesa contra ameaças cibernéticas”, disse a MITRE.