La Corporación MITRE reveló que el ciberataque dirigido hacia la compañía sin fines de lucro a finales de diciembre de 2023 al aprovechar fallas zero-day en Ivanti Connect Secure (ICS) implicó que el actor creara máquinas virtuales (VMs) falsas dentro de su entorno VMware.
“El adversario creó sus propias máquinas virtuales falsas dentro del entorno VMware, aprovechando el acceso comprometido al vCenter Server”, dijeron los investigadores de MITRE, Lex Crumpton y Charles Clancy dijeron.
“Escribieron y desplegaron una shell web JSP (BEEFLUSH) bajo el servidor Tomcat del vCenter Server para ejecutar una herramienta de túnel basada en Python, facilitando conexiones SSH entre las VMs creadas por el adversario y la infraestructura del hipervisor ESXi.”
El motivo detrás de este movimiento es evitar la detección al ocultar sus actividades maliciosas de interfaces de gestión centralizadas como vCenter y mantener el acceso persistente mientras reduce el riesgo de ser descubierto.
Detalles del ataque surgieron el mes pasado cuando MITRE reveló que el actor de amenazas con nexos en China –rastreado por Mandiant, propiedad de Google, bajo el nombre UNC5221– violó su Entorno de Experimentación, Investigación y Virtualización de Redes (NERVE) mediante la explotación de dos fallas en ICS, CVE-2023-46805 y CVE-2024-21887.
Después de evadir la autenticación multifactor y obtener un punto de apoyo inicial, el adversario se movió lateralmente a través de la red y aprovechó una cuenta de administrador comprometida para tomar el control de la infraestructura de VMware para desplegar varios backdoors y shells web para mantener el acceso y recolectar credenciales.
Esto consistió en un backdoor basado en Golang con el nombre en código BRICKSTORM que estaban presentes dentro de las VMs falsas y dos shells web denominadas BEEFLUSH y BUSHWALK, que permitían a UNC5221 ejecutar comandos arbitrarios y comunicarse con servidores de comando y control.
“El adversario también utilizó una cuenta de VMware por defecto, VPXUSER, para realizar siete llamadas a la API que enumeraban una lista de unidades montadas y desmontadas”, dijo MITRE.
“Las VMs falsas operan fuera de los procesos de gestión estándar y no se adhieren a las políticas de seguridad establecidas, lo que las hace difíciles de detectar y gestionar solo a través de la GUI. En su lugar, se necesitan herramientas o técnicas especiales para identificar y mitigar los riesgos asociados con las VMs falsas de manera efectiva.”
Una contramedida efectiva contra los esfuerzos sigilosos de los actores de amenazas para evadir la detección y mantener el acceso es habilitar el arranque seguro, que previene modificaciones no autorizadas al verificar la integridad del proceso de arranque.
La compañía dijo que también está poniendo a disposición dos scripts de PowerShell llamados Invoke-HiddenVMQuery y VirtualGHOST para ayudar a identificar y mitigar posibles amenazas dentro del entorno de VMware.
“A medida que los adversarios continúan evolucionando sus tácticas y técnicas, es imperativo que las organizaciones permanezcan vigilantes y adaptables en la defensa contra las amenazas cibernéticas”, dijo MITRE.