La corporació MITRE ha revelat que l’atac cibernètic dirigit a l’empresa sense ànim de lucre cap a finals de desembre de 2023, mitjançant l’explotació de defectes de dia zero a Ivanti Connect Secure (ICS), va implicar un actor d’amenaça que creava màquines virtuals (VM) sense ànim de lucre dins del seu entorn VMware.

«L’adversari va crear les seves pròpies màquines virtuals malintencionades dins de l’entorn VMware, i va aprofitar l’accés compromès a vCenter Server», van dir els investigadors de MITRE, Lex Crumpton i Charles Clancy.

«Van escriure i desplegar un shell web JSP (BEEFLUSH) sota el servidor Tomcat de vCenter Server per executar una eina de tunelització basada en Python, que va facilitar les connexions SSH entre les màquines virtuals creades per l’adversari i la infraestructura de l’hipervisor ESXi”.

El motiu d’aquest moviment és evitar la detecció enfosquint les seves activitats malicioses des d’interfícies de gestió centralitzades com a vCenter i mantenir un accés persistent que alhora redueix el risc de ser descobert.

Els detalls de l’atac van aparèixer el mes passat quan MITRE va revelar que l’actor de l’amenaça del nexe de la Xina, rastrejat per Mandiant, propietat de Google, amb el nom UNC5221, va atacar el seu entorn d’Experimentació, Recerca i Virtualització en Xarxa (NERVE) mitjançant l’explotació de dos errors de l’ICS CVE-2023-46805 i CVE-2024-21887.

Després de passar per alt l’autenticació multifactorial i d’aconseguir un punt inicial, l’adversari es va moure lateralment per la xarxa i va aprofitar un compte d’administrador compromès per prendre el control de la infraestructura de VMware i desplegar diverses portes del darrere i shells web per conservar les credencials d’accés i recollides.

Això consistia en una porta del darrere basada en Golang amb el nom en codi BRICKSTORM que estava incrustat dins de les màquines virtuals malintencionades i dues shell web anomenades BEEFLUSH i BUSHWALK, que permetien a UNC5221 executar ordres arbitràries i comunicar-se amb servidors d’ordres i control.

«L’adversari també va utilitzar un compte de VMware predeterminat, VPXUSER, per fer set trucades d’API que enumeraven una llista d’unitats muntades i desmuntades», va especificar MITRE.

«Les màquines virtuals malintencionades operen fora dels processos de gestió estàndard i no s’adhereixen a les polítiques de seguretat establertes, cosa que dificulta la seva detecció i gestió només a través de la GUI. En comptes d’això, cal eines o tècniques especials per identificar i mitigar els riscos associats a les màquines virtuals malintencionades de manera eficaç».

Una contramesura eficaç contra els esforços sigil·losos dels actors d’amenaça per evitar la detecció i mantenir l’accés és habilitar l’arrencada segura, que evita modificacions no autoritzades mitjançant la verificació de la integritat del procés d’arrencada.

L’empresa va dir que també hi ha dos scripts de PowerShell disponibles, anomenats Invoke-HiddenVMQuery i VirtualGHOST per ajudar a identificar i mitigar possibles amenaces dins de l’entorn VMware. 

«A mesura que els adversaris continuen desenvolupant les seves tàctiques i tècniques, és imprescindible que les organitzacions es mantinguin vigilants i se sàpiguen adaptar per defensar-se de les amenaces cibernètiques», va dir MITRE.