Hackers criaram VMs desonestas para escapar da detecção no recente ataque cibernético MITRE
![server](https://i2.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhd7DBL3q3NvlgpVS469muOptoIjz4_GdmMgcq63agM-VwgPgHclAOT1E5GRR5F0B9uqcBgcY-Sv5iL-k08uqLr54H35B8nMuX_tqPQS_fWoCueQJ2EPwtACUOQBfUBWt0XUI96IhVQmJhH_O9A2AJaTPUPAxcjkzB3UxbCzTriGbXDuwl1Y2sBl3sh7MBn/s728-rw-e365/server.png?w=780&resize=780,470&ssl=1)
![Ataque cibernético MITRE Ataque cibernético MITRE](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhd7DBL3q3NvlgpVS469muOptoIjz4_GdmMgcq63agM-VwgPgHclAOT1E5GRR5F0B9uqcBgcY-Sv5iL-k08uqLr54H35B8nMuX_tqPQS_fWoCueQJ2EPwtACUOQBfUBWt0XUI96IhVQmJhH_O9A2AJaTPUPAxcjkzB3UxbCzTriGbXDuwl1Y2sBl3sh7MBn/s728-rw-e365/server.png)
A MITRE Company revelou que o ataque cibernético direcionado à empresa sem fins lucrativos no closing de dezembro de 2023, explorando falhas de dia zero no Ivanti Join Safe (ICS), envolveu o ator criando máquinas virtuais (VMs) não autorizadas em seu ambiente VMware.
“O adversário criou suas próprias VMs desonestas no ambiente VMware, aproveitando o acesso comprometido ao vCenter Server”, disseram os pesquisadores do MITRE Lex Crumpton e Charles Clancy.
“Eles escreveram e implantaram um net shell JSP (BEEFLUSH) no servidor Tomcat do vCenter Server para executar uma ferramenta de tunelamento baseada em Python, facilitando conexões SSH entre VMs criadas por adversários e a infraestrutura de hipervisor ESXi.”
O motivo por trás dessa mudança é evitar a detecção, ocultando suas atividades maliciosas em interfaces de gerenciamento centralizadas, como o vCenter, e manter o acesso persistente, reduzindo ao mesmo tempo o risco de serem descobertos.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuUUskkMH9dUT3LF77_Q_irGuaE4LGjp-Am2Ls_UzGJ5EBnZHfuFiSvKs4OPE5KmfedBHcuZZVHS4Bh48UJx8brpwtg6Vr2Gepbaw-lGMIm9HjUhyphenhyphen2W5DVm5-ymwPS691Ie32TrCqFIv6SxNRA-jOKCKZrOB5dV7BfL0zVAhOO0neNkP9yv-XePBU1hN_0/s728-e365/wing-d.png)
Os detalhes do ataque surgiram no mês passado, quando o MITRE revelou que o ator de ameaça do nexo da China – rastreado pela Mandiant, de propriedade do Google, sob o nome UNC5221 – violou seu ambiente de experimentação, pesquisa e virtualização em rede (NERVE) ao explorar duas falhas de ICS CVE. -2023-46805 e CVE-2024-21887.
Ao contornar a autenticação multifator e obter uma posição inicial, o adversário moveu-se lateralmente pela rede e aproveitou uma conta de administrador comprometida para assumir o controle da infraestrutura VMware para implantar vários backdoors e net shells para reter o acesso e coletar credenciais.
Isso consistia em um backdoor baseado em Golang com o codinome BRICKSTORM que estava presente nas VMs não autorizadas e dois shells da net chamados BEEFLUSH e BUSHWALK, permitindo que o UNC5221 executasse comandos arbitrários e se comunicasse com servidores de comando e controle.
“O adversário também usou uma conta VMware padrão, VPXUSER, para fazer sete chamadas de API que enumeravam uma lista de unidades montadas e desmontadas”, disse MITRE.
“As VMs não autorizadas operam fora dos processos de gerenciamento padrão e não aderem às políticas de segurança estabelecidas, tornando-as difíceis de detectar e gerenciar apenas através da GUI. Em vez disso, são necessárias ferramentas ou técnicas especiais para identificar e mitigar os riscos associados às VMs não autorizadas de forma eficaz. “
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_WRs2jRYPNRPdVnIJ52g0Zo3TY_c0FSwk8ZZN085hqm-nXig4b7WIZCpqdHexadU4EmZ402vX1EghcAxIZGa9lwLkWAPPYzPbg1gc5UZCbvTtOHQ3ozwiQAgJ1ahKFoOp8SZl-JN8_URGwiu9aTe5U2wiVHGEetM-S7kKkmgPMNdL_83d5HTJrLm7iBp6/s728-e365/cis-d.png)
Uma contramedida eficaz contra os esforços furtivos dos agentes de ameaças para contornar a detecção e manter o acesso é permitir a inicialização segura, que evita modificações não autorizadas, verificando a integridade do processo de inicialização.
A empresa disse que também está disponibilizando dois scripts PowerShell chamados Invoke-HiddenVMQuery e VirtualGHOST para ajudar a identificar e mitigar ameaças potenciais no ambiente VMware.
“À medida que os adversários continuam a evoluir as suas tácticas e técnicas, é imperativo que as organizações permaneçam vigilantes e adaptáveis na defesa contra ameaças cibernéticas”, disse MITRE.