Tin tặc đã tạo ra các máy ảo giả mạo tránh bị phát hiện trong cuộc tấn công MITRE
Tập đoàn MITRE đã tiết lộ rằng cuộc tấn công mạng nhắm vào công ty phi lợi nhuận vào cuối tháng 12/2023 bằng cách khai thác các lỗ hổng zero-day trong Ivanti Connect Secure (ICS) liên quan đến việc tác nhân tạo ra các máy ảo giả mạo (VM) trong môi trường VMware của mình. Động cơ đằng sau một động thái như vậy là để tránh bị phát hiện bằng cách che khuất các hoạt động độc hại của họ khỏi các giao diện quản lý tập trung như vCenter và duy trì quyền truy cập liên tục trong khi giảm nguy cơ bị phát hiện. Chi tiết về cuộc tấn công đã xuất hiện vào tháng trước khi MITRE tiết lộ rằng tác nhân đe dọa mối quan hệ Trung Quốc - được theo dõi bởi Mandiant thuộc sở hữu của Google dưới tên UNC5221 - đã vi phạm Môi trường thử nghiệm, nghiên cứu và ảo hóa mạng (NERVE) bằng cách khai thác hai lỗ hổng ICS CVE-2023-46805 và CVE-2024-21887. Sau khi bỏ qua xác thực đa yếu tố và có được chỗ đứng ban đầu, kẻ thù đã di chuyển ngang qua mạng và tận dụng tài khoản quản trị viên bị xâm nhập để kiểm soát cơ sở hạ tầng VMware để triển khai các cửa hậu và vỏ web khác nhau để giữ quyền truy cập và thu thập thông tin đăng nhập. Điều này bao gồm một backdoor dựa trên Golang có tên mã là BRICKSTORM có mặt trong các máy ảo giả mạo và hai web shell được gọi là BEEFLUSH và BUSHWALK, cho phép UNC5221 thực hiện các lệnh tùy ý và giao tiếp với các máy chủ chỉ huy và kiểm soát. Một biện pháp đối phó hiệu quả chống lại những nỗ lực lén lút của các tác nhân đe dọa để bỏ qua việc phát hiện và duy trì quyền truy cập là cho phép khởi động an toàn, ngăn chặn các sửa đổi trái phép bằng cách xác minh tính toàn vẹn của quá trình khởi động. Công ty cho biết họ cũng đang cung cấp hai tập lệnh PowerShell có tên Invoke-HiddenVMQuery và VirtualGHOST để giúp xác định và giảm thiểu các mối đe dọa tiềm ẩn trong môi trường VMware. "Khi các đối thủ tiếp tục phát triển chiến thuật và kỹ thuật của họ, các tổ chức bắt buộc phải cảnh giác và thích ứng trong việc bảo vệ chống lại các mối đe dọa mạng", MITRE nói.
Related News
Top News
-
![]()
Over 110,000 Websites Affected by Hijacked Polyfill Supply Chain AttackGoogle has taken steps to block ads for e-commerce sites that use the Polyfill.io service after a Chinese company acquired the domain and modified...
-
![]()
Nỗ lực thúc đẩy môi trường số an toànCải tiến các công cụ, tính năng hữu hiệu, những nền tảng như TikTok đang nỗ lực chung tay thúc đẩy môi trường số an toàn cho cả người dùng lẫn...
-
![]()
Microsoft Announced Copilot for Security TI in Defender XDRMicrosoft has announced the general availability of Copilot for Security threat intelligence embedded experience in the Defender XDR portal....
-
![]()
Cảnh báo lỗ hổng trong hệ thống Bludit CMSPhát hiện năm lỗ hổng trong Bludit - một hệ thống quản lý nội dung mã nguồn mở được sử dụng rộng rãi bởi nhiều trang web và blog. Trong số đó,...