MITRE Corporation, Aralık 2023’ün sonlarına doğru Ivanti Connect Secure’daki (ICS) sıfır gün kusurlarından yararlanarak kar amacı gütmeyen şirketi hedef alan siber saldırının, aktörün VMware ortamında hileli sanal makineler (VM’ler) oluşturmasını içerdiğini ortaya çıkardı.
MITRE araştırmacıları Lex Crumpton ve Charles Clancy, “Düşman, VMware ortamında kendi sahte VM’lerini yarattı ve tehlikeye atılmış vCenter Sunucu erişiminden yararlandı” dedi.
“Python tabanlı bir tünelleme aracını yürütmek için vCenter Server’ın Tomcat sunucusunun altına bir JSP web kabuğu (BEEFLUSH) yazıp dağıttılar, düşman tarafından oluşturulan VM’ler ile ESXi hipervizör altyapısı arasındaki SSH bağlantılarını kolaylaştırdılar.”
Böyle bir hareketin ardındaki amaç, kötü niyetli faaliyetlerini vCenter gibi merkezi yönetim arayüzlerinden gizleyerek tespitten kaçınmak ve keşfedilme riskini azaltırken kalıcı erişimi sürdürmektir.
Saldırının ayrıntıları geçen ay MITRE’nin, Google’ın sahibi Mandiant tarafından UNC5221 adı altında takip edilen Çin bağlantılı tehdit aktörünün iki ICS CVE kusurunu kullanarak Ağa Bağlı Deney, Araştırma ve Sanallaştırma Ortamını (NERVE) ihlal ettiğini ortaya çıkarmasıyla ortaya çıktı. -2023-46805 ve CVE-2024-21887.
Çok faktörlü kimlik doğrulamayı atlayıp ilk tutunma noktasını elde ettikten sonra, saldırgan ağ boyunca yanal olarak hareket etti ve erişimi korumak ve kimlik bilgilerini toplamak için çeşitli arka kapılar ve web kabukları dağıtmak amacıyla VMware altyapısının kontrolünü ele geçirmek üzere güvenliği ihlal edilmiş bir yönetici hesabından yararlandı.
Bu, hileli VM’lerde bulunan ve UNC5221’in rastgele komutlar yürütmesine ve komuta ve kontrol sunucularıyla iletişim kurmasına olanak tanıyan, BEEFLUSH ve BUSHWALK olarak adlandırılan iki web kabuğundan ve kod adı BRICKSTORM olan Golang tabanlı bir arka kapıdan oluşuyordu.
MITRE, “Düşman ayrıca, takılı ve takılmamış sürücülerin listesini numaralandıran yedi API çağrısı yapmak için varsayılan bir VMware hesabı olan VPXUSER’ı da kullandı.” dedi.
“Rogue VM’ler standart yönetim süreçlerinin dışında çalışıyor ve yerleşik güvenlik politikalarına bağlı kalmıyor, bu da onların yalnızca GUI aracılığıyla tespit edilmesini ve yönetilmesini zorlaştırıyor. Bunun yerine, hileli VM’lerle ilişkili riskleri etkili bir şekilde tanımlamak ve azaltmak için özel araçlara veya tekniklere ihtiyaç var. “
Tehdit aktörlerinin algılamayı atlatmaya ve erişimi sürdürmeye yönelik gizli çabalarına karşı etkili bir karşı önlem, önyükleme sürecinin bütünlüğünü doğrulayarak yetkisiz değişiklikleri önleyen güvenli önyüklemeyi etkinleştirmektir.
Şirket ayrıca VMware ortamındaki potansiyel tehditlerin belirlenmesine ve azaltılmasına yardımcı olmak için Invoke-HiddenVMQuery ve VirtualGHOST adlı iki PowerShell betiğini de kullanıma sunduğunu söyledi.
MITRE, “Düşmanlar taktiklerini ve tekniklerini geliştirmeye devam ettikçe, kuruluşların siber tehditlere karşı savunmada uyanık ve uyumlu kalması zorunludur.” dedi.