A MITRE Company revelou que o ataque cibernético direcionado à empresa sem fins lucrativos no closing de dezembro de 2023, explorando falhas de dia zero no Ivanti Join Safe (ICS), envolveu o ator criando máquinas virtuais (VMs) não autorizadas em seu ambiente VMware.
“O adversário criou suas próprias VMs desonestas no ambiente VMware, aproveitando o acesso comprometido ao vCenter Server”, disseram os pesquisadores do MITRE Lex Crumpton e Charles Clancy.
“Eles escreveram e implantaram um net shell JSP (BEEFLUSH) no servidor Tomcat do vCenter Server para executar uma ferramenta de tunelamento baseada em Python, facilitando conexões SSH entre VMs criadas por adversários e a infraestrutura de hipervisor ESXi.”
O motivo por trás dessa mudança é evitar a detecção, ocultando suas atividades maliciosas em interfaces de gerenciamento centralizadas, como o vCenter, e manter o acesso persistente, reduzindo ao mesmo tempo o risco de serem descobertos.
Os detalhes do ataque surgiram no mês passado, quando o MITRE revelou que o ator de ameaça do nexo da China – rastreado pela Mandiant, de propriedade do Google, sob o nome UNC5221 – violou seu ambiente de experimentação, pesquisa e virtualização em rede (NERVE) ao explorar duas falhas de ICS CVE. -2023-46805 e CVE-2024-21887.
Ao contornar a autenticação multifator e obter uma posição inicial, o adversário moveu-se lateralmente pela rede e aproveitou uma conta de administrador comprometida para assumir o controle da infraestrutura VMware para implantar vários backdoors e net shells para reter o acesso e coletar credenciais.
Isso consistia em um backdoor baseado em Golang com o codinome BRICKSTORM que estava presente nas VMs não autorizadas e dois shells da net chamados BEEFLUSH e BUSHWALK, permitindo que o UNC5221 executasse comandos arbitrários e se comunicasse com servidores de comando e controle.
“O adversário também usou uma conta VMware padrão, VPXUSER, para fazer sete chamadas de API que enumeravam uma lista de unidades montadas e desmontadas”, disse MITRE.
“As VMs não autorizadas operam fora dos processos de gerenciamento padrão e não aderem às políticas de segurança estabelecidas, tornando-as difíceis de detectar e gerenciar apenas através da GUI. Em vez disso, são necessárias ferramentas ou técnicas especiais para identificar e mitigar os riscos associados às VMs não autorizadas de forma eficaz. “
Uma contramedida eficaz contra os esforços furtivos dos agentes de ameaças para contornar a detecção e manter o acesso é permitir a inicialização segura, que evita modificações não autorizadas, verificando a integridade do processo de inicialização.
A empresa disse que também está disponibilizando dois scripts PowerShell chamados Invoke-HiddenVMQuery e VirtualGHOST para ajudar a identificar e mitigar ameaças potenciais no ambiente VMware.
“À medida que os adversários continuam a evoluir as suas tácticas e técnicas, é imperativo que as organizações permaneçam vigilantes e adaptáveis na defesa contra ameaças cibernéticas”, disse MITRE.
