MITRE Corporation, yakın zamanda açıklanan siber saldırıya ilişkin daha fazla ayrıntı sunarak, saldırının ilk kanıtının artık 31 Aralık 2023’e kadar uzandığını belirtti.
Geçen ay ortaya çıkan saldırıda, CVE-2023–46805 ve CVE-2024–21887 olarak takip edilen iki Ivanti Connect Secure sıfır gün güvenlik açığından yararlanılarak MITRE’nin Ağ Bağlantılı Deney, Araştırma ve Sanallaştırma Ortamı (NERVE) hedeflendi. sırasıyla.
MITRE, “Düşman, güvenliği ihlal edilmiş bir yönetici hesabı kullanarak VMware altyapısı aracılığıyla araştırma ağı içinde manevra yaptı, ardından kalıcılığı korumak ve kimlik bilgilerini toplamak için arka kapılar ve web kabuklarının bir kombinasyonunu kullandı.” dedi.
Kuruluş daha önce saldırganların Ocak 2024’ten itibaren ağlarında keşif yaptıklarını açıklamış olsa da, en son teknik derinlemesine inceleme, düşmanın ilk erişim için ROOTROT adlı Perl tabanlı bir web kabuğunu bırakmasıyla Aralık 2023 sonlarında uzlaşmanın ilk işaretlerini ortaya koyuyor .
Google’ın sahibi olduğu Mandiant’a göre ROOTROT, “/data/runtime/tmp/tt/setcookie.thtml.ttc” adresinde bulunan meşru bir Connect Secure .ttc dosyasına yerleştirilmiştir ve UNC5221 olarak adlandırılan Çin nexus siber casusluk kümesinin eseridir. BUSHWALK, CHAINLINE, FRAMESTING ve LIGHTWIRE gibi diğer web kabuklarıyla da bağlantılıdır.
Web kabuğu dağıtımını takiben, tehdit aktörü NERVE ortamının profilini çıkardı ve birden fazla ESXi ana bilgisayarıyla iletişim kurdu; sonuçta MITRE’nin VMware altyapısı üzerinde kontrol sağladı ve BRICKSTORM adı verilen bir Golang arka kapısını ve BEEFLUSH olarak adlandırılan daha önce belgelenmemiş bir web kabuğunu bıraktı.
MITRE araştırmacısı Lex Crumpton, “Bu eylemler kalıcı erişim sağladı ve düşmanın keyfi komutlar yürütmesine ve komuta ve kontrol sunucularıyla iletişim kurmasına olanak sağladı” dedi. “Düşman, ele geçirilen sistemler üzerinde kontrolü sürdürmek için SSH manipülasyonu ve şüpheli komut dosyalarının yürütülmesi gibi tekniklerden yararlandı.”
Daha ayrıntılı analizler, tehdit aktörünün gizli iletişimi ve veri sızıntısını kolaylaştırmak için 11 Ocak 2024’te ikiz kusurların kamuya açıklanmasından bir gün sonra WIREFIRE (aka GIFTEDVISITOR) olarak bilinen başka bir web kabuğunu da kullandığını belirledi.
19 Ocak 2024’te NERVE ağından komuta ve kontrol altyapısına veri iletmek için BUSHWALK web kabuğunu kullanmanın yanı sıra, düşmanın Şubat ayından Mart ortasına kadar NERVE içinde yanal hareket girişiminde bulunduğu ve kalıcılığını koruduğu söyleniyor.
Crumpton, “Düşman, MITRE’nin kurumsal etki alanı denetleyicilerinden biri için bir ping komutu yürüttü ve MITRE sistemlerine yanal olarak geçmeye çalıştı ancak başarısız oldu” dedi.