A MITRE Corporation revelou que um ataque cibernético direcionado à organização no final de dezembro de 2023 explorou falhas de zero day no Ivanti Connect Secure (ICS). O ataque envolveu agentes de ameaças criando máquinas virtuais (VMs) maliciosas dentro do ambiente VMware da MITRE, aproveitando o acesso comprometido ao vCenter Server.
De acordo com os pesquisadores da MITRE, Lex Crumpton e Charles Clancy, “Os agentes de ameaça criaram suas próprias VMs dentro do ambiente VMware, aproveitando o acesso comprometido ao vCenter Server. Eles escreveram e implantaram um web shell JSP (BEEFLUSH) sob o servidor Tomcat do vCenter Server para executar uma ferramenta de encapsulamento baseada em Python, facilitando as conexões SSH entre VMs criadas por adversários e a infraestrutura de hypervisor ESXi.”
A motivação por trás dessa tática foi evitar a detecção, obscurecendo suas atividades maliciosas das interfaces de gerenciamento centralizado, como o vCenter, e manter o acesso persistente, reduzindo o risco de serem descobertos. Os detalhes do ataque vieram à tona no mês passado, quando a MITRE revelou que o agente de ameaças ligado à China, rastreado pela Mandiant, de propriedade do Google, sob o nome UNC5221, violou seu ambiente de experimentação, pesquisa e virtualização em rede (NERVE), explorando as falhas CVE-2023-46805 e CVE-2024-21887 no ICS.
As falhas CVE-2023-46805 e CVE-2024-21887 permitiram aos atacantes ignorar a autenticação multifator e obter uma posição inicial na rede. Em seguida, eles se moveram lateralmente pela rede, aproveitando uma conta de administrador comprometida para assumir o controle da infraestrutura VMware. Eles implantaram vários backdoors e web shells para manter o acesso e coletar dados. Isso incluiu um backdoor baseado em Golang, codinome BRICKSTORM, incorporado nas VMs, e dois web shells conhecidos como BEEFLUSH e BUSHWALK, permitindo ao UNC5221 executar comandos arbitrários e se comunicar com servidores C2.
“Os agentes de ameaça também utilizaram uma conta padrão da VMware, VPXUSER, para fazer sete chamadas de API que enumeram uma lista de drivers montados e desmontados”, relatou a MITRE.
Uma contramedida eficaz é habilitar a inicialização segura, que impede modificações não autorizadas verificando a integridade do processo de inicialização. A MITRE também disponibilizou dois scripts do PowerShell chamados Invoke-HiddenVMQuery e VirtualGHOST para ajudar a identificar e mitigar ameaças potenciais no ambiente VMware.
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que prioriza riscos cibernéticos críticos para os negócios, integrando IA para segurança avançada. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.
