Корпорация MITRE представила более подробную информацию о недавно раскрытой кибератаке, заявив, что первые свидетельства вторжения датируются 31 декабря 2023 года.
Атака, о которой стало известно в прошлом месяце, затронула сетевую среду экспериментов, исследований и виртуализации MITRE (NERVE) посредством использования двух уязвимостей нулевого дня Ivanti Connect Secure, отслеживаемых как CVE-2023–46805 и CVE-2024–21887 соответственно.
"Злоумышленник проник в исследовательскую сеть через инфраструктуру VMware, используя скомпрометированную учетную запись администратора, затем использовал комбинацию бэкдоров и веб-оболочек для поддержания персистентности и сбора учетных данных", - сказал МИТРЕ.
Хотя организация ранее сообщала, что злоумышленники проводили разведку ее сетей, начиная с января 2024 года, последнее техническое исследование выявило самые ранние признаки компрометации в конце декабря 2023 года, когда злоумышленник использовал веб-оболочку на основе Perl под названием ROOTROT для первоначального доступа.
ROOTROT, согласно Mandiant, принадлежащему Google, встроен в законный файл Connect Secure .ttc, расположенный по адресу "/data / runtime /tmp / tt / setcookie.thtml.ttc" и является результатом работы китайского кластера кибершпионажа nexus под названием UNC5221, который также связан с другими веб-оболочками, такими как BUSHWALK, CHAINLINE, FRAMESTING и LIGHTWIRE.
После развертывания веб-оболочки исполнитель угрозы профилировал среду NERVE и установил связь с несколькими хостами ESXi, в конечном итоге установив контроль над инфраструктурой MITRE VMware и удалив бэкдор Golang под названием BRICKSTORM и ранее недокументированную веб-оболочку под названием BEEFLUSH.
"Эти действия установили постоянный доступ и позволили злоумышленнику выполнять произвольные команды и взаимодействовать с серверами командования и контроля", - объяснил исследователь MITRE Лекс Крамптон. "Злоумышленник использовал такие методы, как манипулирование SSH и выполнение подозрительных скриптов, чтобы сохранить контроль над скомпрометированными системами".
Дальнейший анализ показал, что субъект угрозы также развернул другую веб-оболочку, известную как WIREFIRE (она же GIFTEDVISITOR), на следующий день после публичного раскрытия двух уязвимостей 11 января 2024 года, для облегчения скрытой связи и утечки данных.
Помимо использования веб-оболочки BUSHWALK для передачи данных из сети NERVE в инфраструктуру командования и контроля 19 января 2024 года, сообщается, что злоумышленник предпринял попытку бокового перемещения и сохранял постоянство в NERVE с февраля по середину марта.
"Злоумышленник выполнил команду ping для одного из корпоративных контроллеров домена MITRE и попытался проникнуть в системы MITRE сбоку, но безуспешно", - сказал Крамптон.
Атака, о которой стало известно в прошлом месяце, затронула сетевую среду экспериментов, исследований и виртуализации MITRE (NERVE) посредством использования двух уязвимостей нулевого дня Ivanti Connect Secure, отслеживаемых как CVE-2023–46805 и CVE-2024–21887 соответственно.
"Злоумышленник проник в исследовательскую сеть через инфраструктуру VMware, используя скомпрометированную учетную запись администратора, затем использовал комбинацию бэкдоров и веб-оболочек для поддержания персистентности и сбора учетных данных", - сказал МИТРЕ.
Хотя организация ранее сообщала, что злоумышленники проводили разведку ее сетей, начиная с января 2024 года, последнее техническое исследование выявило самые ранние признаки компрометации в конце декабря 2023 года, когда злоумышленник использовал веб-оболочку на основе Perl под названием ROOTROT для первоначального доступа.
ROOTROT, согласно Mandiant, принадлежащему Google, встроен в законный файл Connect Secure .ttc, расположенный по адресу "/data / runtime /tmp / tt / setcookie.thtml.ttc" и является результатом работы китайского кластера кибершпионажа nexus под названием UNC5221, который также связан с другими веб-оболочками, такими как BUSHWALK, CHAINLINE, FRAMESTING и LIGHTWIRE.
После развертывания веб-оболочки исполнитель угрозы профилировал среду NERVE и установил связь с несколькими хостами ESXi, в конечном итоге установив контроль над инфраструктурой MITRE VMware и удалив бэкдор Golang под названием BRICKSTORM и ранее недокументированную веб-оболочку под названием BEEFLUSH.
"Эти действия установили постоянный доступ и позволили злоумышленнику выполнять произвольные команды и взаимодействовать с серверами командования и контроля", - объяснил исследователь MITRE Лекс Крамптон. "Злоумышленник использовал такие методы, как манипулирование SSH и выполнение подозрительных скриптов, чтобы сохранить контроль над скомпрометированными системами".
Дальнейший анализ показал, что субъект угрозы также развернул другую веб-оболочку, известную как WIREFIRE (она же GIFTEDVISITOR), на следующий день после публичного раскрытия двух уязвимостей 11 января 2024 года, для облегчения скрытой связи и утечки данных.
Помимо использования веб-оболочки BUSHWALK для передачи данных из сети NERVE в инфраструктуру командования и контроля 19 января 2024 года, сообщается, что злоумышленник предпринял попытку бокового перемещения и сохранял постоянство в NERVE с февраля по середину марта.
"Злоумышленник выполнил команду ping для одного из корпоративных контроллеров домена MITRE и попытался проникнуть в системы MITRE сбоку, но безуспешно", - сказал Крамптон.
