MITRE сподели информация за това как свързаните с Китай хакери са използвали VMware за устойчивост и избягване на откриване при неотдавнашния хак, за който своевременно писахме.
MITRE публикува още един материал в блога си, в който описва неотдавнашната кибератака, като се фокусира върху това как хакерите са злоупотребили със системите на VMware за устойчивост и избягване на откриване.
MITRE, компания с нестопанска цел, която управлява центрове за научноизследователска и развойна дейност от името на американски правителствени спонсори, разкри преди един месец, че спонсорирани от държавата хакери са използвали уязвимости от типа „нулев ден“ в продукт на Ivanti, за да получат неоторизиран достъп до нейната среда за мрежови експерименти, изследвания и виртуализация (NERVE) – некласифицирана мрежа за сътрудничество, която се използва за научни изследвания, развойна дейност и създаване на прототипи.
Уязвимостите, използвани при атаката, проследени като CVE-2023-46805 и CVE-2024-21887, станаха известни на 10 януари, когато фирмата за киберсигурност Volexity предупреди, че те са били използвани от китайски хакери за компрометиране на VPN устройствата на Ivanti.
MITRE откри признаци на експлоатация през април, но нейното разследване установи, че кибершпионска група, свързана с Китай – проследена от Mandiant като UNC5221 – е използвала нулевите дни на Ivanti за първоначален достъп до своята среда NERVE в края на декември 2023 г.
Акторът на заплахата е внедрил задна врата за VMware vCenter, наречена BrickStorm, и уеб обвивка, наречена BeeFlush. Той също така разгърнал уеб обвивка на име WireFire и ексфилтрирал данни с помощта на друга уеб обвивка, наречена BushWalk.
Между средата на февруари и средата на март хакерите са поддържали устойчивост в средата на NERVE и са правили опити за странично придвижване, но не са успели да се насочат към други ресурси – казват от MITRE.
В публикация в блога, публикувана миналата сряда, MITRE обяснява, че зловредните програми BrickStorm и BeeFlush са злоупотребили с виртуални машини (VM) чрез потребителски акаунт на име „VPXUSER“, за да установят устойчивост.
Нападателите са извършвали дейности в средата на VMware, след като са компрометирали администраторските данни, които са им дали привилегирован достъп до инфраструктурата NERVE ESXi.
Хакерите са създали свои собствени нелоялни виртуални машини в средата на VMware, след което са разположили обвивката BeeFlush под сървъра Tomcat на vCenter Server, „за да изпълнят инструмент за тунелиране, базиран на Python, улесняващ SSH връзките между създадените от противника виртуални машини и инфраструктурата на хипервайзора ESXi“.
„Чрез разгръщането на измамни виртуални машини противниците могат да избегнат откриването им, като скрият дейностите си от централизираните интерфейси за управление като vCenter. Това им позволява да запазят контрола върху компрометираните системи, като същевременно минимизират риска от разкриване“, обясняват от MITRE.
MITRE сподели и два скрипта, които други организации могат да използват за идентифициране и намаляване на потенциалните заплахи в своите среди на VMware. Единият от скриптовете, Invoke-HiddenVMQuery, е разработен от MITRE, а вторият, VirtualGHOST, е създаден от CrowdStrike.
Други препоръки и ресурси за откриване и смекчаване на последиците също са споделени от MITRE.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.