Hackers crearon máquinas virtuales no autorizadas para evadir la detección en el reciente ciberataque a MITRE Corporation

La Corporación MITRE ha informado que el ciberataque que apuntó a la empresa sin fines de lucro a finales de diciembre de 2023, explotando vulnerabilidades de día cero en Ivanti Connect Secure (ICS), implicó al atacante creando máquinas virtuales (VM) maliciosas dentro de su entorno VMware.

«El atacante creó sus propias VM maliciosas dentro del entorno VMware, utilizando el acceso comprometido al servidor vCenter,» explicaron los investigadores de MITRE Lex Crumpton y Charles Clancy.

«Ellos escribieron y desplegaron un shell web JSP (BEEFLUSH) en el servidor Tomcat del servidor vCenter para ejecutar una herramienta de túnel basada en Python, facilitando conexiones SSH entre las VM creadas por el atacante y la infraestructura del hipervisor ESXi.»

El propósito de esta acción es evitar la detección al ocultar sus actividades maliciosas de las interfaces de gestión centralizadas como vCenter y mantener un acceso persistente mientras minimizan el riesgo de ser descubiertos.

Los detalles del ataque surgieron el mes pasado cuando MITRE reveló que el actor de amenazas con vínculos en China, rastreado por Mandiant, propiedad de Google, bajo el nombre UNC5221, violó su Entorno de Experimentación en Red, Investigación y Virtualización (NERVE) explotando dos vulnerabilidades de ICS, CVE-2023-46805 y CVE-2024-21887.

Después de evadir la autenticación multifactor y obtener un punto de entrada inicial, el atacante se movió lateralmente a través de la red y utilizó una cuenta de administrador comprometida para tomar el control de la infraestructura VMware, desplegando diversas puertas traseras y shells web para mantener el acceso y robar credenciales.

Esto incluyó una puerta trasera basada en Golang llamada BRICKSTORM que estaba presente dentro de las VM maliciosas y dos shells web denominados BEEFLUSH y BUSHWALK, permitiendo a UNC5221 ejecutar comandos arbitrarios y comunicarse con servidores de comando y control.

«El atacante también utilizó una cuenta predeterminada de VMware, VPXUSER, para realizar siete llamadas API que enumeraron una lista de unidades montadas y desmontadas,» explicó MITRE.

«Las VM maliciosas operan fuera de los procesos de gestión estándar y no siguen las políticas de seguridad establecidas, lo que las hace difíciles de detectar y gestionar solo a través de la interfaz gráfica. Se necesitan herramientas o técnicas especiales para identificar y mitigar eficazmente los riesgos asociados con las VM maliciosas.»

Una medida efectiva contra los esfuerzos sigilosos de los actores de amenazas para evitar la detección y mantener el acceso es habilitar el arranque seguro, lo que previene modificaciones no autorizadas al verificar la integridad del proceso de arranque.

La empresa también mencionó que está poniendo a disposición dos scripts de PowerShell llamados Invoke-HiddenVMQuery y VirtualGHOST para ayudar a identificar y mitigar posibles amenazas dentro del entorno VMware.

«A medida que los atacantes continúan evolucionando sus tácticas y técnicas, es crucial que las organizaciones se mantengan vigilantes y adaptativas en la defensa contra amenazas cibernéticas,» concluyó MITRE.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *