A MITRE Corporation revelou que, no final de dezembro de 2023, uma organização sem fins lucrativos foi alvo de um ataque cibernético que explorou diversas falhas de zero-day no Ivanti Connect Secure (ICS). Os hackers criaram máquinas virtuais (VMs) maliciosas dentro do ambiente VMware da empresa.
"Os hackers criaram suas próprias VMs maliciosas no ambiente VMware, aproveitando o acesso comprometido ao vCenter Server," explicaram os pesquisadores da MITRE, Lex Crumpton e Charles Clancy.
"Escreveram e implantaram um web shell JSP (BEEFLUSH) no servidor Tomcat do vCenter Server para executar uma ferramenta de tunelamento baseada em Python, facilitando conexões SSH entre as VMs criadas pelos hackers e a infraestrutura de hipervisor ESXi."
O objetivo dessa tática é evitar a detecção ao ocultar suas atividades maliciosas das interfaces de gerenciamento centralizadas, como o vCenter, mantendo acesso persistente e reduzindo o risco de serem descobertos.
Os detalhes do ataque vieram à tona no mês passado, quando a MITRE revelou que hackers com ligações ao governo chinês, identificados pela Mandiant, empresa da Google, como UNC5221, invadiram o ambiente de experimentação, pesquisa e virtualização em rede (NERVE) da MITRE, explorando duas falhas do ICS, CVE-2023-46805 e CVE-2024-21887.
Após superar a autenticação multifator e obter acesso inicial, os hackers moveram-se lateralmente pela rede, utilizando uma conta de administrador comprometida para controlar a infraestrutura VMware e implantar diversos backdoors e web shells para manter acesso e roubar credenciais.
Isso incluiu um backdoor baseado em Golang, codinome BRICKSTORM, que foi embutido nas VMs maliciosas, e duas web shells, chamadas BEEFLUSH e BUSHWALK, permitindo ao UNC5221 executar comandos arbitrários e se comunicar com servidores de comando e controle.
"Os hackers também usaram uma conta padrão do VMware, VPXUSER, para fazer sete chamadas de API que enumeraram uma lista de drives montados e não montados," informou a MITRE.
"As VMs maliciosas operam fora dos processos de gerenciamento padrão e não seguem as políticas de segurança estabelecidas, tornando-as difíceis de detectar e gerenciar apenas pela interface gráfica. Em vez disso, são necessárias ferramentas ou técnicas especiais para identificar e mitigar os riscos associados a essas VMs maliciosas de forma eficaz."
Uma contramedida eficaz contra os esforços furtivos dos hackers para evitar a detecção e manter o acesso é habilitar o secure boot, que previne modificações não autorizadas ao verificar a integridade do processo de inicialização.
A empresa também disponibilizou dois scripts PowerShell, chamados Invoke-HiddenVMQuery e VirtualGHOST, para ajudar a identificar e mitigar ameaças potenciais no ambiente VMware.
"À medida que os hackers continuam evoluindo suas táticas e técnicas, é imprescindível que as organizações se mantenham atentas e adaptáveis na defesa contra ameaças cibernéticas," afirmou a MITRE.
Via - THN
Comentários