Tin tặc đã tạo ra các máy ảo giả mạo tránh bị phát hiện trong cuộc tấn công MITRE

   Tập đoàn MITRE đã tiết lộ rằng cuộc tấn công mạng nhắm vào công ty phi lợi nhuận vào cuối tháng 12/2023 bằng cách khai thác các lỗ hổng zero-day trong Ivanti Connect Secure (ICS) liên quan đến việc tác nhân tạo ra các máy ảo giả mạo (VM) trong môi trường VMware của mình. Động cơ đằng sau một động thái như vậy là để tránh bị phát hiện bằng cách che khuất các hoạt động độc hại của họ khỏi các giao diện quản lý tập trung như vCenter và duy trì quyền truy cập liên tục trong khi giảm nguy cơ bị phát hiện. Chi tiết về cuộc tấn công  đã xuất hiện  vào tháng trước khi MITRE tiết lộ rằng tác nhân đe dọa mối quan hệ Trung Quốc - được theo dõi bởi Mandiant thuộc sở hữu của Google dưới tên UNC5221 - đã vi phạm Môi trường thử nghiệm, nghiên cứu và ảo hóa mạng (NERVE) bằng cách khai thác hai lỗ hổng ICS CVE-2023-46805 và CVE-2024-21887. Sau khi bỏ qua xác thực đa yếu tố và có được chỗ đứng ban đầu, kẻ thù đã di chuyển ngang qua mạng và tận dụng tài khoản quản trị viên bị xâm nhập để kiểm soát cơ sở hạ tầng VMware để  triển khai các cửa hậu và vỏ web khác nhau  để giữ quyền truy cập và thu thập thông tin đăng nhập. Điều này bao gồm một backdoor dựa trên Golang có tên mã là BRICKSTORM có mặt trong các máy ảo giả mạo và hai web shell được gọi là BEEFLUSH và BUSHWALK, cho phép UNC5221 thực hiện các lệnh tùy ý và giao tiếp với các máy chủ chỉ huy và kiểm soát. Một biện pháp đối phó hiệu quả chống lại những nỗ lực lén lút của các tác nhân đe dọa để bỏ qua việc phát hiện và duy trì quyền truy cập là cho phép khởi động an toàn, ngăn chặn các sửa đổi trái phép bằng cách xác minh tính toàn vẹn của quá trình khởi động. Công ty cho biết họ cũng đang cung cấp hai tập lệnh PowerShell có tên  Invoke-HiddenVMQuery  và  VirtualGHOST  để giúp xác định và giảm thiểu các mối đe dọa tiềm ẩn trong môi trường VMware. "Khi các đối thủ tiếp tục phát triển chiến thuật và kỹ thuật của họ, các tổ chức bắt buộc phải cảnh giác và thích ứng trong việc bảo vệ chống lại các mối đe dọa mạng", MITRE nói.

Top News