Ese día, los atacantes implementaron un shell web en un dispositivo Ivanti Connect Secure VPN externo explotando CVE-2023–46805 y CVE-2024–21887, dos días cero cuya existencia se hizo pública a principios de enero, cuando los parches aún estaban disponibles. indisponible.
Herramientas y técnicas utilizadas para violar MITRE
Los atacantes aprovecharon los días cero de Ivanti para obtener acceso a la red de investigación y creación de prototipos de la organización, desde donde realizaron reconocimientos adicionales, se trasladaron a su entorno VMware y extrajeron datos.
Utilizaron credenciales de cuentas administrativas comprometidas, shells web y puertas traseras para mantener el acceso persistente y comunicarse con la infraestructura de comando y control, compartieron el principal ingeniero de ciberseguridad de la organización, Lex Crumpton, y el CTO, Charles Clancy .
Algunos de los web shells utilizados han sido documentados previamente por Volexity y Mandiant , y se cree que son manejados por un actor de amenazas chino.
“UNC5221 es un actor sospechoso del nexo con China que Mandiant está rastreando como el único grupo que explota CVE-2023-46805 y CVE-2024-21887 durante el período previo a la divulgación desde principios de diciembre de 2023”, señalaron los analistas de Mandiant a principios de abril.
(MITRE no dice que UNC5221 esté detrás del ataque, solo que “los indicadores observados durante el incidente se superponen con los descritos en el informe de inteligencia de amenazas de Mandiant sobre UNC5221).
Uno de los web shells («BEEFLUSH») utilizado por esos atacantes ha sido detectado por primera vez.
La exfiltración de datos comprometidos comenzó el 19 de enero y los atacantes intentaron (y fracasaron) recurrir a otros recursos fuera del entorno de VMware durante febrero y marzo.
MITRE ha prometido compartir detalles adicionales sobre las técnicas de persistencia del adversario la próxima semana, cuando también proporcionarán herramientas de detección.
Fuente y redacción: helpnetsecurity.com
