Tin tặc đã tạo ra các máy ảo giả mạo tránh bị phát hiện trong cuộc tấn công MITRE
Tập đoàn MITRE đã tiết lộ rằng cuộc tấn công mạng nhắm vào công ty phi lợi nhuận vào cuối tháng 12/2023 bằng cách khai thác các lỗ hổng zero-day trong Ivanti Connect Secure (ICS) liên quan đến việc tác nhân tạo ra các máy ảo giả mạo (VM) trong môi trường VMware của mình. Động cơ đằng sau một động thái như vậy là để tránh bị phát hiện bằng cách che khuất các hoạt động độc hại của họ khỏi các giao diện quản lý tập trung như vCenter và duy trì quyền truy cập liên tục trong khi giảm nguy cơ bị phát hiện. Chi tiết về cuộc tấn công đã xuất hiện vào tháng trước khi MITRE tiết lộ rằng tác nhân đe dọa mối quan hệ Trung Quốc - được theo dõi bởi Mandiant thuộc sở hữu của Google dưới tên UNC5221 - đã vi phạm Môi trường thử nghiệm, nghiên cứu và ảo hóa mạng (NERVE) bằng cách khai thác hai lỗ hổng ICS CVE-2023-46805 và CVE-2024-21887. Sau khi bỏ qua xác thực đa yếu tố và có được chỗ đứng ban đầu, kẻ thù đã di chuyển ngang qua mạng và tận dụng tài khoản quản trị viên bị xâm nhập để kiểm soát cơ sở hạ tầng VMware để triển khai các cửa hậu và vỏ web khác nhau để giữ quyền truy cập và thu thập thông tin đăng nhập. Điều này bao gồm một backdoor dựa trên Golang có tên mã là BRICKSTORM có mặt trong các máy ảo giả mạo và hai web shell được gọi là BEEFLUSH và BUSHWALK, cho phép UNC5221 thực hiện các lệnh tùy ý và giao tiếp với các máy chủ chỉ huy và kiểm soát. Một biện pháp đối phó hiệu quả chống lại những nỗ lực lén lút của các tác nhân đe dọa để bỏ qua việc phát hiện và duy trì quyền truy cập là cho phép khởi động an toàn, ngăn chặn các sửa đổi trái phép bằng cách xác minh tính toàn vẹn của quá trình khởi động. Công ty cho biết họ cũng đang cung cấp hai tập lệnh PowerShell có tên Invoke-HiddenVMQuery và VirtualGHOST để giúp xác định và giảm thiểu các mối đe dọa tiềm ẩn trong môi trường VMware. "Khi các đối thủ tiếp tục phát triển chiến thuật và kỹ thuật của họ, các tổ chức bắt buộc phải cảnh giác và thích ứng trong việc bảo vệ chống lại các mối đe dọa mạng", MITRE nói.
Related News
Top News
-
![]()
Hackers Exploit Legitimate Websites to Deliver BadSpace Windows BackdoorLegitimate-but-compromised websites are being used as a conduit to deliver a Windows backdoor dubbed BadSpace under the guise of fake browser...
-
![]()
Khuyến nghị người dân tránh xa cá độ bóng đá qua mạng mùa Euro 2024Giải vô địch bóng đá châu Âu - Euro 2024 đang diễn ra. Cục An toàn thông tin (Bộ TT&TT) khuyến nghị người dân cần kiên quyết tránh xa cá...
-
![]()
Hidden Backdoor in D-Link Routers Let Attacker Login as AdminA critical vulnerability has been discovered in several models of D-Link wireless routers, allowing unauthenticated attackers to gain...
-
![]()
Lỗ hổng trong Plugin Woody Code Snippets đe dọa hơn 70,000 trang web WordPressMột lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong plugin Woody Code Snippets cho WordPress, một công cụ phổ biến được hơn 70,000 trang web...