Devlet destekli bilgisayar korsanları yakın zamanda MITRE’nin Ağ Bağlantılı Deney, Araştırma ve Sanallaştırma Ortamı’ndaki (NERVE) güvenlik açıklarından yararlandı.
Bir siber saldırıda tespit edilmekten kaçınmak ve kalıcılığı sürdürmek için hileli sanal makineler (VM’ler) kullandılar.
UNC5221 olarak takip edilen Çin bağlantılı bir gruba atfedilen saldırı, siber tehditlerin artan karmaşıklığının ve üst düzey siber güvenlik kuruluşlarının bile bunlara karşı savunma yaparken karşılaştığı zorlukların altını çiziyor.
İhlal, saldırganların Ivanti Connect Secure cihazlarındaki CVE-2023-46805 ve CVE-2024-21887 olarak tanımlanan iki sıfır gün güvenlik açığından yararlandığı Aralık 2023’ün sonlarında başladı.
Bu güvenlik açıkları, bilgisayar korsanlarının oturum ele geçirme yoluyla çok faktörlü kimlik doğrulamayı atlamasına ve MITRE’nin NERVE ortamına yetkisiz erişim elde etmesine olanak tanıdı.
Kötüye kullanıma ilişkin ilk işaretler Nisan 2024’te tespit edildi ve bu durum, MITRE ve üçüncü taraf dijital adli tıp ekipleri tarafından kapsamlı bir soruşturma yapılmasına yol açtı.
Rogue VM’ler Yoluyla Kalıcılık
Saldırganlar, NERVE ortamına girdikten sonra ele geçirilen yönetici kimlik bilgilerini kullanarak VMware altyapısını hedef aldı.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
‘VPXUSER’ adlı varsayılan hizmet hesabını kullanarak hileli VM’ler oluşturdular ve bu da onların Center gibi merkezi yönetim arayüzlerinin görünürlüğü dışında çalışmasına olanak tanıdı.
Bu taktik, saldırganların ele geçirilen sistemler üzerinde kontrol sahibi olmalarını sağlarken tespit edilme riskini de en aza indirdi.
Bilgisayar korsanları, bu hileli VM’lerin içine BrickStorm adında bir arka kapı ve BeeFlush adlı bir web kabuğu yerleştirdi.
BeeFlush kabuğu, Python tabanlı bir tünel oluşturma aracını yürütmek için vCenter Server’ın Tomcat sunucusunun altına yerleştirildi ve düşman tarafından oluşturulan VM’ler ile ESXi hipervizör altyapısı arasındaki SSH bağlantılarını kolaylaştırdı.
Bu kurulum, saldırganların NERVE içindeki komuta ve kontrol (C2) sunucuları ve yönetim alt ağları ile kalıcı iletişim kanalları kurmasına olanak tanıdı.
MITRE’nin ihlale tepkisi, NERVE ortamının çevrimdışına alınmasını ve kapsamlı bir adli analiz yapılmasını içeriyordu.
Kuruluş, bir blog gönderisinde saldırganların taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında ayrıntılı bilgiler paylaşarak olağandışı SSH etkinliğini izlemenin ve belirli komut satırlarını kullanarak kayıtlı olmayan VM’leri manuel olarak kontrol etmenin önemini vurguladı.
MITRE ayrıca diğer kuruluşların VMware ortamlarındaki benzer tehditleri tespit etmelerine ve azaltmalarına yardımcı olmak için Invoke-HiddenVMQuery ve VirtualGHOST gibi komut dosyaları da sağladı.
Olay, siber tehditlerin gelişen doğasını ve sürekli dikkat ve gelişmiş savunma mekanizmalarına duyulan ihtiyacı vurgulamaktadır.
Kuruluş, başkalarının güvenlik önlemlerini geliştirmelerine ve gelecekteki riskleri azaltmalarına yardımcı olmak için bulgularını ve en iyi uygulamalarını paylaşmayı taahhüt etti.
MITRE siber saldırısı, devlet destekli bilgisayar korsanlarının yüksek değerli hedeflere sızmak ve bu hedeflerde varlıklarını sürdürmek için kullandıkları karmaşık yöntemleri gösteriyor.
Saldırganlar, sıfırıncı gün güvenlik açıklarından yararlanarak ve hileli VM’lerden yararlanarak tespitten kaçmayı ve güvenliği ihlal edilmiş sistemler üzerinde kontrolü sürdürmeyi başardı.
MITRE’nin proaktif tepkisi ve öğrenilen derslerin paylaşımındaki şeffaflığı, siber güvenlik topluluğu için değerli bilgiler sağlayarak, gelişmiş kalıcı tehditlere karşı koymak için güçlü savunma stratejilerinin ve sürekli izlemenin önemini vurguluyor.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın