MITRE Corporation ha revelado que el ciberataque dirigido a la empresa sin fines de lucro a finales de diciembre de 2023 mediante la explotación de fallas de día cero en Ivanti Connect Secure (ICS) implicó que el actor creara máquinas virtuales (VM) no autorizadas dentro de su entorno VMware.
«El adversario creó sus propias máquinas virtuales no autorizadas dentro del entorno VMware, aprovechando el acceso comprometido a vCenter Server», dijeron los investigadores de MITRE Lex Crumpton y Charles Clancy .
«Escribieron e implementaron un shell web JSP (BEEFLUSH) en el servidor Tomcat de vCenter Server para ejecutar una herramienta de tunelización basada en Python, facilitando conexiones SSH entre máquinas virtuales creadas por el adversario y la infraestructura del hipervisor ESXi».
El motivo detrás de tal medida es eludir la detección ocultando sus actividades maliciosas desde interfaces de administración centralizadas como vCenter y manteniendo un acceso persistente mientras se reduce el riesgo de ser descubierto.
Los detalles del ataque surgieron el mes pasado cuando MITRE reveló que el actor de amenazas del nexo con China, rastreado por Mandiant, propiedad de Google, con el nombre UNC5221, violó su entorno de virtualización, investigación y experimentación en red (NERVE) al explotar dos fallas de ICS CVE. -2023-46805 y CVE-2024-21887.
Al eludir la autenticación multifactor y ganar un punto de apoyo inicial, el adversario se movió lateralmente a través de la red y aprovechó una cuenta de administrador comprometida para tomar el control de la infraestructura de VMware e implementar varias puertas traseras y shells web para retener el acceso y recopilar credenciales.
Esto consistía en una puerta trasera basada en Golang con nombre en código BRICKSTORM que estaba presente dentro de las máquinas virtuales no autorizadas y dos shells web denominados BEEFLUSH y BUSHWALK, lo que permitía a UNC5221 ejecutar comandos arbitrarios y comunicarse con servidores de comando y control.
«El adversario también utilizó una cuenta predeterminada de VMware, VPXUSER, para realizar siete llamadas API que enumeraban una lista de unidades montadas y desmontadas», dijo MITRE.
«Las máquinas virtuales no autorizadas operan fuera de los procesos de administración estándar y no se adhieren a las políticas de seguridad establecidas, lo que las hace difíciles de detectar y administrar solo a través de la GUI. En cambio, se necesitan herramientas o técnicas especiales para identificar y mitigar los riesgos asociados con las máquinas virtuales no autorizadas de manera efectiva. «
Una contramedida eficaz contra los esfuerzos sigilosos de los actores de amenazas para evitar la detección y mantener el acceso es habilitar el arranque seguro, que evita modificaciones no autorizadas al verificar la integridad del proceso de arranque.
La compañía dijo que también pondrá a disposición dos scripts de PowerShell llamados Invoke-HiddenVMQuery y VirtualGHOST para ayudar a identificar y mitigar amenazas potenciales dentro del entorno VMware.
«A medida que los adversarios continúan evolucionando sus tácticas y técnicas, es imperativo que las organizaciones permanezcan alerta y adaptables en la defensa contra las amenazas cibernéticas», dijo MITRE.
Fuente y redacción: thehackernews.com