Корпорация MITRE сообщила, что кибератака, нацеленная на некоммерческую компанию в конце декабря 2023 года с использованием недостатков нулевого дня в Ivanti Connect Secure (ICS), была связана с созданием злоумышленником виртуальных машин-изгоев в среде VMware.
"Злоумышленник создал свои собственные виртуальные машины-изгои в среде VMware, используя скомпрометированный доступ к серверу vCenter", - сказали исследователи MITRE Лекс Крамптон и Чарльз Клэнси.
"Они написали и развернули веб-оболочку JSP (BEEFLUSH) под сервером Tomcat vCenter Server для выполнения инструмента туннелирования на основе Python, облегчающего SSH-соединения между виртуальными машинами, созданными злоумышленником, и инфраструктурой гипервизора ESXi".
Мотив такого шага заключается в том, чтобы обойти обнаружение, скрывая свои вредоносные действия от интерфейсов централизованного управления, таких как vCenter, и поддерживать постоянный доступ, снижая риск быть обнаруженным.
Подробности атаки появились в прошлом месяце, когда MITRE сообщила, что исполнитель угрозы China-nexus, отслеживаемый принадлежащей Google компанией Mandiant под именем UNC5221, взломал ее сетевую среду экспериментов, исследований и виртуализации (NERVE), используя две уязвимости ICS CVE-2023-46805 и CVE-2024-21887.
Обойдя многофакторную аутентификацию и закрепившись на начальном этапе, злоумышленник переместился вбок по сети и использовал скомпрометированную учетную запись администратора, чтобы получить контроль над инфраструктурой VMware для развертывания различных бэкдоров и веб-оболочек для сохранения доступа и сбора учетных данных.
Это состояло из бэкдора на базе Golang под кодовым названием BRICKSTORM, который присутствовал в виртуальных машинах-изгоях, и двух веб-оболочек, называемых BEEFLUSH и BUSHWALK, позволяющих UNC5221 выполнять произвольные команды и взаимодействовать с серверами командования и управления.
"Злоумышленник также использовал учетную запись VMware по умолчанию, VPXUSER, для выполнения семи вызовов API, которые перечисляли список подключенных и размонтированных дисков", - сказал МИТРЕ.
"Виртуальные машины-изгои работают вне стандартных процессов управления и не соответствуют установленным политикам безопасности, что затрудняет их обнаружение и управление только с помощью графического интерфейса пользователя. Вместо этого нужны специальные инструменты или методы для эффективного выявления и снижения рисков, связанных с вредоносными виртуальными машинами."
Одной из эффективных контрмер против попыток злоумышленников обойти обнаружение и сохранить доступ является включение безопасной загрузки, которая предотвращает несанкционированные изменения путем проверки целостности процесса загрузки.
Компания заявила, что также делает доступными два сценария PowerShell с именами Invoke-HiddenVMQuery и VirtualGHOST, которые помогают выявлять и устранять потенциальные угрозы в среде VMware.
"Поскольку противники продолжают совершенствовать свою тактику и методы, организациям крайне важно сохранять бдительность и адаптивность в защите от киберугроз", - сказал МИТРЕ.
"Злоумышленник создал свои собственные виртуальные машины-изгои в среде VMware, используя скомпрометированный доступ к серверу vCenter", - сказали исследователи MITRE Лекс Крамптон и Чарльз Клэнси.
"Они написали и развернули веб-оболочку JSP (BEEFLUSH) под сервером Tomcat vCenter Server для выполнения инструмента туннелирования на основе Python, облегчающего SSH-соединения между виртуальными машинами, созданными злоумышленником, и инфраструктурой гипервизора ESXi".
Мотив такого шага заключается в том, чтобы обойти обнаружение, скрывая свои вредоносные действия от интерфейсов централизованного управления, таких как vCenter, и поддерживать постоянный доступ, снижая риск быть обнаруженным.
Подробности атаки появились в прошлом месяце, когда MITRE сообщила, что исполнитель угрозы China-nexus, отслеживаемый принадлежащей Google компанией Mandiant под именем UNC5221, взломал ее сетевую среду экспериментов, исследований и виртуализации (NERVE), используя две уязвимости ICS CVE-2023-46805 и CVE-2024-21887.
Обойдя многофакторную аутентификацию и закрепившись на начальном этапе, злоумышленник переместился вбок по сети и использовал скомпрометированную учетную запись администратора, чтобы получить контроль над инфраструктурой VMware для развертывания различных бэкдоров и веб-оболочек для сохранения доступа и сбора учетных данных.
Это состояло из бэкдора на базе Golang под кодовым названием BRICKSTORM, который присутствовал в виртуальных машинах-изгоях, и двух веб-оболочек, называемых BEEFLUSH и BUSHWALK, позволяющих UNC5221 выполнять произвольные команды и взаимодействовать с серверами командования и управления.
"Злоумышленник также использовал учетную запись VMware по умолчанию, VPXUSER, для выполнения семи вызовов API, которые перечисляли список подключенных и размонтированных дисков", - сказал МИТРЕ.
"Виртуальные машины-изгои работают вне стандартных процессов управления и не соответствуют установленным политикам безопасности, что затрудняет их обнаружение и управление только с помощью графического интерфейса пользователя. Вместо этого нужны специальные инструменты или методы для эффективного выявления и снижения рисков, связанных с вредоносными виртуальными машинами."
Одной из эффективных контрмер против попыток злоумышленников обойти обнаружение и сохранить доступ является включение безопасной загрузки, которая предотвращает несанкционированные изменения путем проверки целостности процесса загрузки.
Компания заявила, что также делает доступными два сценария PowerShell с именами Invoke-HiddenVMQuery и VirtualGHOST, которые помогают выявлять и устранять потенциальные угрозы в среде VMware.
"Поскольку противники продолжают совершенствовать свою тактику и методы, организациям крайне важно сохранять бдительность и адаптивность в защите от киберугроз", - сказал МИТРЕ.
