Търсене
Close this search box.

VMware е била използвана в неотдавнашната хакерска атака на MITRE

MITRE сподели информация за това как свързаните с Китай хакери са използвали VMware за устойчивост и избягване на откриване при неотдавнашния хак, за който своевременно писахме.

MITRE публикува още един материал в блога си, в който описва неотдавнашната кибератака, като се фокусира върху това как хакерите са злоупотребили със системите на VMware за устойчивост и избягване на откриване.

MITRE, компания с нестопанска цел, която управлява центрове за научноизследователска и развойна дейност от името на американски правителствени спонсори, разкри преди един месец, че спонсорирани от държавата хакери са използвали уязвимости от типа „нулев ден“ в продукт на Ivanti, за да получат неоторизиран достъп до нейната среда за мрежови експерименти, изследвания и виртуализация (NERVE) – некласифицирана мрежа за сътрудничество, която се използва за научни изследвания, развойна дейност и създаване на прототипи.

Уязвимостите, използвани при атаката, проследени като CVE-2023-46805 и CVE-2024-21887, станаха известни на 10 януари, когато фирмата за киберсигурност Volexity предупреди, че те са били използвани от китайски хакери за компрометиране на VPN устройствата на Ivanti.

MITRE откри признаци на експлоатация през април, но нейното разследване установи, че кибершпионска група, свързана с Китай – проследена от Mandiant като UNC5221 – е използвала нулевите дни на Ivanti за първоначален достъп до своята среда NERVE в края на декември 2023 г.

Акторът на заплахата е внедрил задна врата за VMware vCenter, наречена BrickStorm, и уеб обвивка, наречена BeeFlush. Той също така разгърнал уеб обвивка на име WireFire и ексфилтрирал данни с помощта на друга уеб обвивка, наречена BushWalk.

Между средата на февруари и средата на март хакерите са поддържали устойчивост в средата на NERVE и са правили опити за странично придвижване, но не са успели да се насочат към други ресурси – казват от MITRE.

В публикация в блога, публикувана миналата сряда, MITRE обяснява, че зловредните програми BrickStorm и BeeFlush са злоупотребили с виртуални машини (VM) чрез потребителски акаунт на име „VPXUSER“, за да установят устойчивост.

Нападателите са извършвали дейности в средата на VMware, след като са компрометирали администраторските данни, които са им дали привилегирован достъп до инфраструктурата NERVE ESXi.

Хакерите са създали свои собствени нелоялни виртуални машини в средата на VMware, след което са разположили обвивката BeeFlush под сървъра Tomcat на vCenter Server, „за да изпълнят инструмент за тунелиране, базиран на Python, улесняващ SSH връзките между създадените от противника виртуални машини и инфраструктурата на хипервайзора ESXi“.

„Чрез разгръщането на измамни виртуални машини противниците могат да избегнат откриването им, като скрият дейностите си от централизираните интерфейси за управление като vCenter. Това им позволява да запазят контрола върху компрометираните системи, като същевременно минимизират риска от разкриване“, обясняват от MITRE.

MITRE сподели и два скрипта, които други организации могат да използват за идентифициране и намаляване на потенциалните заплахи в своите среди на VMware. Единият от скриптовете, Invoke-HiddenVMQuery, е разработен от MITRE, а вторият, VirtualGHOST, е създаден от CrowdStrike.

Други препоръки и ресурси за откриване и смекчаване на последиците също са споделени от MITRE.

 

Източник: e-security.bg

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
14 юни 2024

Как да повишим киберсигурността на компаниите з...

Технологичният пейзаж се променя бързо, което поставя нови предизви...

Заплахата от подмяна на SIM карти продължава

Въпреки че измамите с подмяна на SIM карти или смяна на SIM карти с...
Бъдете социални
Още по темата
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
12/06/2024

Съвети за отпускарския сезон

Лятото чука на вратата и се...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!