MITRE Corporation revela ataque cibernético a través de vulnerabilidades en Ivanti Connect Secure
Escribieron y desplegaron una shell web JSP (BEEFLUSH) bajo el servidor Tomcat del vCenter Server para ejecutar una herramienta de túnel basada en Python, facilitando conexiones SSH entre las VMs creadas por el adversario y la infraestructura del hipervisor ESXi».
El objetivo detrás de este movimiento es evitar la detección al ocultar sus actividades maliciosas desde interfaces de gestión centralizadas como vCenter y mantener acceso persistente mientras se reduce el riesgo de ser descubiertos.
Detalles del ataque
Los detalles del ataque surgieron el mes pasado cuando MITRE reveló que el actor de amenazas con nexos en China, rastreado por Mandiant de Google bajo el nombre UNC5221, violó su entorno de Experimentación de Redes, Investigación y Virtualización (NERVE) al explotar dos fallos en ICS: CVE-2023-46805 y CVE-2024-21887.
Tras eludir la autenticación multifactor y obtener un primer acceso, el adversario se movió lateralmente a través de la red y aprovechó una cuenta de administrador comprometida para tomar control de la infraestructura VMware, desplegar varios backdoors y shells web para mantener acceso y recolectar credenciales.
Esto consistió en un backdoor basado en Golang, denominado BRICKSTORM, que estaba presente dentro de las VMs maliciosas y dos shells web referidos como BEEFLUSH y BUSHWALK, permitiendo a UNC5221 ejecutar comandos arbitrarios y comunicarse con servidores de comando y control.
Uso de cuentas predeterminadas y API
«El adversario también utilizó una cuenta predeterminada de VMware, VPXUSER, para realizar siete llamadas a la API que enumeraron una lista de unidades montadas y desmontadas», dijo MITRE. «Las VMs maliciosas operan fuera de los procesos de gestión estándar y no se adhieren a las políticas de seguridad establecidas, lo que dificulta su detección.»
Contramedidas Efectivas Contra Actores de Amenaza
Identificación y gestión de VMs (Máquinas Virtuales) malintencionadas a través de la interfaz gráfica puede resultar difícil. En cambio, se necesitan herramientas especiales o técnicas específicas para identificar y mitigar los riesgos asociados de manera efectiva.
Habilitar Secure Boot
Una medida de seguridad efectiva contra los esfuerzos furtivos de los actores de amenazas para eludir la detección y mantener el acceso es habilitar el Secure Boot. Esto previene modificaciones no autorizadas al verificar la integridad del proceso de arranque.
Scripting de PowerShell para Identificar Amenazas
La compañía también ha puesto a disposición dos scripts de PowerShell denominados Invoke-HiddenVMQuery
y VirtualGHOST
para ayudar a identificar y mitigar potenciales amenazas dentro del entorno de VMware.
Adaptación Continua Contra Amenazas Cibernéticas
«A medida que los adversarios continúan evolucionando sus tácticas y técnicas, es imperativo que las organizaciones se mantengan vigilantes y adaptativas en la defensa contra las amenazas cibernéticas,» dijo MITRE.