BEEFLUSH google MITRE MITRE Corporation NERVE PowerShell Scripts UNC5221

Hackers Crean Maquinas Virtuales Clandestinas Para Burlar La Deteccion En Ataque Reciente A Mitre

Hackers Crean Máquinas Virtuales Clandestinas para Burlar la Detección en Ataque Reciente a MITRE

| Por | 3 minutos de lectura

MITRE Corporation revela ataque cibernético a través de vulnerabilidades en Ivanti Connect Secure

La MITRE Corporation ha revelado que el ataque cibernético dirigido a esta empresa sin fines de lucro a finales de diciembre de 2023, aprovechando fallos de día cero en Ivanti Connect Secure (ICS), implicó que el actor malicioso creara máquinas virtuales (VMs) maliciosas dentro de su entorno VMware.Los investigadores de MITRE, Lex Crumpton y Charles Clancy, señalaron: «El adversario creó sus propias VMs maliciosas dentro del entorno VMware, aprovechando el acceso comprometido al vCenter Server.

Escribieron y desplegaron una shell web JSP (BEEFLUSH) bajo el servidor Tomcat del vCenter Server para ejecutar una herramienta de túnel basada en Python, facilitando conexiones SSH entre las VMs creadas por el adversario y la infraestructura del hipervisor ESXi».

El objetivo detrás de este movimiento es evitar la detección al ocultar sus actividades maliciosas desde interfaces de gestión centralizadas como vCenter y mantener acceso persistente mientras se reduce el riesgo de ser descubiertos.

Detalles del ataque

Los detalles del ataque surgieron el mes pasado cuando MITRE reveló que el actor de amenazas con nexos en China, rastreado por Mandiant de Google bajo el nombre UNC5221, violó su entorno de Experimentación de Redes, Investigación y Virtualización (NERVE) al explotar dos fallos en ICS: CVE-2023-46805 y CVE-2024-21887.

Tras eludir la autenticación multifactor y obtener un primer acceso, el adversario se movió lateralmente a través de la red y aprovechó una cuenta de administrador comprometida para tomar control de la infraestructura VMware, desplegar varios backdoors y shells web para mantener acceso y recolectar credenciales.

Esto consistió en un backdoor basado en Golang, denominado BRICKSTORM, que estaba presente dentro de las VMs maliciosas y dos shells web referidos como BEEFLUSH y BUSHWALK, permitiendo a UNC5221 ejecutar comandos arbitrarios y comunicarse con servidores de comando y control.

Uso de cuentas predeterminadas y API

«El adversario también utilizó una cuenta predeterminada de VMware, VPXUSER, para realizar siete llamadas a la API que enumeraron una lista de unidades montadas y desmontadas», dijo MITRE. «Las VMs maliciosas operan fuera de los procesos de gestión estándar y no se adhieren a las políticas de seguridad establecidas, lo que dificulta su detección.»

Contramedidas Efectivas Contra Actores de Amenaza

Identificación y gestión de VMs (Máquinas Virtuales) malintencionadas a través de la interfaz gráfica puede resultar difícil. En cambio, se necesitan herramientas especiales o técnicas específicas para identificar y mitigar los riesgos asociados de manera efectiva.

Habilitar Secure Boot

Una medida de seguridad efectiva contra los esfuerzos furtivos de los actores de amenazas para eludir la detección y mantener el acceso es habilitar el Secure Boot. Esto previene modificaciones no autorizadas al verificar la integridad del proceso de arranque.

Scripting de PowerShell para Identificar Amenazas

La compañía también ha puesto a disposición dos scripts de PowerShell denominados Invoke-HiddenVMQuery y VirtualGHOST para ayudar a identificar y mitigar potenciales amenazas dentro del entorno de VMware.

Adaptación Continua Contra Amenazas Cibernéticas

«A medida que los adversarios continúan evolucionando sus tácticas y técnicas, es imperativo que las organizaciones se mantengan vigilantes y adaptativas en la defensa contra las amenazas cibernéticas,» dijo MITRE.

Debe leer