MITRE сподели информация за това как свързаните с Китай хакери са използвали VMware за устойчивост и избягване на откриване при неотдавнашния хак, за който своевременно писахме.

MITRE публикува още един материал в блога си, в който описва неотдавнашната кибератака, като се фокусира върху това как хакерите са злоупотребили със системите на VMware за устойчивост и избягване на откриване.

MITRE, компания с нестопанска цел, която управлява центрове за научноизследователска и развойна дейност от името на американски правителствени спонсори, разкри преди един месец, че спонсорирани от държавата хакери са използвали уязвимости от типа „нулев ден“ в продукт на Ivanti, за да получат неоторизиран достъп до нейната среда за мрежови експерименти, изследвания и виртуализация (NERVE) – некласифицирана мрежа за сътрудничество, която се използва за научни изследвания, развойна дейност и създаване на прототипи.

Уязвимостите, използвани при атаката, проследени като CVE-2023-46805 и CVE-2024-21887, станаха известни на 10 януари, когато фирмата за киберсигурност Volexity предупреди, че те са били използвани от китайски хакери за компрометиране на VPN устройствата на Ivanti.

MITRE откри признаци на експлоатация през април, но нейното разследване установи, че кибершпионска група, свързана с Китай – проследена от Mandiant като UNC5221 – е използвала нулевите дни на Ivanti за първоначален достъп до своята среда NERVE в края на декември 2023 г.

Акторът на заплахата е внедрил задна врата за VMware vCenter, наречена BrickStorm, и уеб обвивка, наречена BeeFlush. Той също така разгърнал уеб обвивка на име WireFire и ексфилтрирал данни с помощта на друга уеб обвивка, наречена BushWalk.

Между средата на февруари и средата на март хакерите са поддържали устойчивост в средата на NERVE и са правили опити за странично придвижване, но не са успели да се насочат към други ресурси – казват от MITRE.

В публикация в блога, публикувана миналата сряда, MITRE обяснява, че зловредните програми BrickStorm и BeeFlush са злоупотребили с виртуални машини (VM) чрез потребителски акаунт на име „VPXUSER“, за да установят устойчивост.

Нападателите са извършвали дейности в средата на VMware, след като са компрометирали администраторските данни, които са им дали привилегирован достъп до инфраструктурата NERVE ESXi.

Хакерите са създали свои собствени нелоялни виртуални машини в средата на VMware, след което са разположили обвивката BeeFlush под сървъра Tomcat на vCenter Server, „за да изпълнят инструмент за тунелиране, базиран на Python, улесняващ SSH връзките между създадените от противника виртуални машини и инфраструктурата на хипервайзора ESXi“.

„Чрез разгръщането на измамни виртуални машини противниците могат да избегнат откриването им, като скрият дейностите си от централизираните интерфейси за управление като vCenter. Това им позволява да запазят контрола върху компрометираните системи, като същевременно минимизират риска от разкриване“, обясняват от MITRE.

MITRE сподели и два скрипта, които други организации могат да използват за идентифициране и намаляване на потенциалните заплахи в своите среди на VMware. Единият от скриптовете, Invoke-HiddenVMQuery, е разработен от MITRE, а вторият, VirtualGHOST, е създаден от CrowdStrike.

Други препоръки и ресурси за откриване и смекчаване на последиците също са споделени от MITRE.