Кибератака на MITRE Corporation: Китайские хакеры проникли через уязвимости в Ivanti Connect Secure

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Компания рассказала, как киберпреступники из Китая внедряют виртуальные машины-призраки.

MITRE Corporation сообщила о кибератаке на их некоммерческую организацию в конце декабря 2023 года. Атакующие использовали уязвимости нулевого дня в Ivanti Connect Secure (ICS) для создания поддельных виртуальных машин VMware.

Злоумышленники получили доступ к серверу vCenter и создали собственные виртуальные машины в среде VMware. Хакеры внедрили веб-оболочку JSP (BEEFLUSH) на сервер vCenter Server Tomcat для запуска инструмента туннелирования на основе Python, что позволило киберпреступникам установить SSH-соединения между созданными виртуальными машинами и инфраструктурой гипервизора ESXi.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Цели и методы атаки

Целью атаки было скрыть свои действия от интерфейса централизованного управления (vCenter) и сохранить постоянный доступ, сводя к минимуму риск обнаружения. Подробности атаки появились еще в апреле, когда MITRE установила , что за атакой стоит китайская группировка UNC5221, которая проникла в исследовательскую среду NERVE с использованием двух уязвимостей ICS ( CVE-2023-46805 и CVE-2024-21887 ).

После обхода многофакторной аутентификации и получения начального доступа, злоумышленники продвинулись по сети, используя скомпрометированную учетную запись администратора для контроля над инфраструктурой VMware. Хакеры развернули несколько бэкдоров и веб-оболочек для сохранения доступа и кражи учетных данных. Среди них был бэкдор на языке Go под кодовым названием BRICKSTORM, а также веб-оболочки BEEFLUSH и BUSHWALK, которые позволяли выполнять произвольные команды и связываться с серверами управления.

Использование стандартных учетных записей и скрытые виртуальные машины

Также злоумышленники использовали стандартную учетную запись VMware, VPXUSER, для выполнения семи API-запросов, чтобы перечислить список подключенных и отключенных дисков. Специалисты объясняют, что поддельные виртуальные машины работают вне стандартных процессов управления и не подчиняются установленным политикам безопасности, что делает их трудно обнаруживаемыми и сложными для управления через графический интерфейс.

  Искусственный интеллект угрожает рабочим местам: какие профессии в зоне риска?

Для выявления и устранения рисков, связанных с такими машинами, необходимы специальные инструменты или методы. Одной из эффективных мер противодействия скрытным попыткам атакующих является включение безопасной загрузки, которая предотвращает несанкционированные изменения, проверяя целостность процесса загрузки. Компания также предоставила два скрипта PowerShell [ 1 и 2 ] для выявления и устранения потенциальных угроз в среде VMware.

Невидимка в сети: научим вас исчезать из поля зрения хакеров.

Подпишитесь!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий