Търсене
Close this search box.

MITRE сподели информация за това как свързаните с Китай хакери са използвали VMware за устойчивост и избягване на откриване при неотдавнашния хак, за който своевременно писахме.

MITRE публикува още един материал в блога си, в който описва неотдавнашната кибератака, като се фокусира върху това как хакерите са злоупотребили със системите на VMware за устойчивост и избягване на откриване.

MITRE, компания с нестопанска цел, която управлява центрове за научноизследователска и развойна дейност от името на американски правителствени спонсори, разкри преди един месец, че спонсорирани от държавата хакери са използвали уязвимости от типа „нулев ден“ в продукт на Ivanti, за да получат неоторизиран достъп до нейната среда за мрежови експерименти, изследвания и виртуализация (NERVE) – некласифицирана мрежа за сътрудничество, която се използва за научни изследвания, развойна дейност и създаване на прототипи.

Уязвимостите, използвани при атаката, проследени като CVE-2023-46805 и CVE-2024-21887, станаха известни на 10 януари, когато фирмата за киберсигурност Volexity предупреди, че те са били използвани от китайски хакери за компрометиране на VPN устройствата на Ivanti.

MITRE откри признаци на експлоатация през април, но нейното разследване установи, че кибершпионска група, свързана с Китай – проследена от Mandiant като UNC5221 – е използвала нулевите дни на Ivanti за първоначален достъп до своята среда NERVE в края на декември 2023 г.

Акторът на заплахата е внедрил задна врата за VMware vCenter, наречена BrickStorm, и уеб обвивка, наречена BeeFlush. Той също така разгърнал уеб обвивка на име WireFire и ексфилтрирал данни с помощта на друга уеб обвивка, наречена BushWalk.

Между средата на февруари и средата на март хакерите са поддържали устойчивост в средата на NERVE и са правили опити за странично придвижване, но не са успели да се насочат към други ресурси – казват от MITRE.

В публикация в блога, публикувана миналата сряда, MITRE обяснява, че зловредните програми BrickStorm и BeeFlush са злоупотребили с виртуални машини (VM) чрез потребителски акаунт на име „VPXUSER“, за да установят устойчивост.

Нападателите са извършвали дейности в средата на VMware, след като са компрометирали администраторските данни, които са им дали привилегирован достъп до инфраструктурата NERVE ESXi.

Хакерите са създали свои собствени нелоялни виртуални машини в средата на VMware, след което са разположили обвивката BeeFlush под сървъра Tomcat на vCenter Server, „за да изпълнят инструмент за тунелиране, базиран на Python, улесняващ SSH връзките между създадените от противника виртуални машини и инфраструктурата на хипервайзора ESXi“.

„Чрез разгръщането на измамни виртуални машини противниците могат да избегнат откриването им, като скрият дейностите си от централизираните интерфейси за управление като vCenter. Това им позволява да запазят контрола върху компрометираните системи, като същевременно минимизират риска от разкриване“, обясняват от MITRE.

MITRE сподели и два скрипта, които други организации могат да използват за идентифициране и намаляване на потенциалните заплахи в своите среди на VMware. Единият от скриптовете, Invoke-HiddenVMQuery, е разработен от MITRE, а вторият, VirtualGHOST, е създаден от CrowdStrike.

Други препоръки и ресурси за откриване и смекчаване на последиците също са споделени от MITRE.

 

Източник: e-security.bg

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
3 октомври 2024

Microsoft представя Copilot Vision, но набляга ...

Във вторник Microsoft представи нов инструмент за анализ на уеб съд...
Бъдете социални
Още по темата
02/10/2024

Разбиване на облака: Атаки,...

Тъй като организациите все повече внедряват...
26/09/2024

Поредна уязвимост на Ivanti...

Уязвимост, засягаща контролера за доставка на...
21/09/2024

Тor реагира подобаващо на г...

Поддържащите мрежата за анонимност Tor отговориха...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!