Новости Невидимый враг в сетях MITRE: как виртуализация помогает скрывать взлом

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Компания рассказала, как киберпреступники из Китая внедряют виртуальные машины-призраки.


rg2x16ku8zc51uado6sycrvc3cy5vxji.jpg


MITRE Corporation Для просмотра ссылки Войди или Зарегистрируйся о кибератаке на их некоммерческую организацию в конце декабря 2023 года. Атакующие использовали уязвимости нулевого дня в Ivanti Connect Secure ( ICS ) для создания поддельных виртуальных машин VMware .

Злоумышленники получили доступ к серверу vCenter и создали собственные виртуальные машины в среде VMware. Хакеры внедрили веб-оболочку JSP (BEEFLUSH) на сервер vCenter Server Tomcat для запуска инструмента туннелирования на основе Python, что позволило киберпреступникам установить SSH-соединения между созданными виртуальными машинами и инфраструктурой гипервизора ESXi.

Целью атаки было скрыть свои действия от интерфейса централизованного управления (vCenter) и сохранить постоянный доступ, сводя к минимуму риск обнаружения. Подробности атаки появились еще в апреле, когда MITRE Для просмотра ссылки Войди или Зарегистрируйся что за атакой стоит китайская группировка UNC5221, которая проникла в исследовательскую среду NERVE с использованием двух уязвимостей ICS ( Для просмотра ссылки Войди или Зарегистрируйся ).

После обхода многофакторной аутентификации и получения начального доступа, злоумышленники продвинулись по сети, используя скомпрометированную учетную запись администратора для контроля над инфраструктурой VMware. Хакеры развернули несколько бэкдоров и веб-оболочек для сохранения доступа и кражи учетных данных. Среди них был бэкдор на языке Go под кодовым названием BRICKSTORM, а также веб-оболочки BEEFLUSH и BUSHWALK, которые позволяли выполнять произвольные команды и связываться с серверами управления.

Также злоумышленники использовали стандартную учетную запись VMware, VPXUSER, для выполнения семи API-запросов, чтобы перечислить список подключенных и отключенных дисков.

Специалисты объясняют, что поддельные виртуальные машины работают вне стандартных процессов управления и не подчиняются установленным политикам безопасности, что делает их трудно обнаруживаемыми и сложными для управления через графический интерфейс. Для выявления и устранения рисков, связанных с такими машинами, необходимы специальные инструменты или методы.

Одной из эффективных мер противодействия скрытным попыткам атакующих является включение безопасной загрузки, которая предотвращает несанкционированные изменения, проверяя целостность процесса загрузки. Компания также предоставила два скрипта PowerShell [ Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся ] для выявления и устранения потенциальных угроз в среде VMware.
 
Источник новости
www.securitylab.ru

Похожие темы