Çin bağlantılı bilgisayar korsanları, bu süreçte farklı arka kapılar ve Web kabuklarından oluşan bir liste kullandı. MITRE Corporation’ı tehlikeye atmak Geçen yılın son zamanları.
Geçtiğimiz ay, Çekişmeli Taktikler, Teknikler ve Ortak Bilgi (ATT&CK) çerçevesiyle tanınan MITRE’nin şu şekilde ihlal edildiğine dair haberler çıktı: Ivanti Connect Sıfırıncı gün güvenlik açıklarını koruyun. Bilgisayar korsanları, sınıflandırılmamış bir araştırma ve geliştirme ağı olan Ağ Bağlantılı Deney, Araştırma ve Sanallaştırma Ortamına (NERVE) erişti.
3 Mayıs’ta GÖNYE biraz daha ayrıntı doldurdum Yılbaşı Gecesinden Mart ortasına kadar süren bir saldırının parçası olarak yaklaşık beş benzersiz yük konuşlandırıldı.
MITRE’ye Karşı Kullanılan Yükler
2023 yılbaşı hediyesi olarak MITRE saldırganları ona “Rootrot” web kabuğunu bulaştırdı. Rootrot, kendisini meşru bir Ivanti Connect Secure TCC dosyasına yerleştirecek şekilde tasarlanmıştır ve NERVE ortamında keşif ve yanal hareket gerçekleştirmelerine olanak sağlamıştır.
Araç, aynı grup olan Çin gelişmiş kalıcı tehdit (APT) UNC5221 tarafından tasarlandı. Ivanti merkezli saldırıların ilk dalgası bildirildi. Dark Reading daha önce MITRE’nin ihlalini UNC5221’e bağlamıştı ancak MITRE’nin talebi üzerine bu ayrıntıyı geri çekti.
Saldırganlar, ilk erişimi sağladıktan ve biraz araştırdıktan sonra, ele geçirilen Ivanti cihazını kullanarak NERVE’nin sanal ortamına bağlanıp kontrolü ele geçirdiler. Daha sonra bir dizi sanal makineye (VM) çeşitli yükleri bulaştırdılar.
VMWare vCenter sunucuları için MITRE ağına iki versiyon halinde gelen Golang tabanlı bir arka kapı olan “Brickstorm” vardı. Kendisini bir Web sunucusu olarak ayarlayabilir, bir komut ve kontrol (C2) sunucusuyla iletişim kurabilir, SOCKS aktarımı gerçekleştirebilir, kabuk komutlarını çalıştırabilir ve dosya sistemlerinden yükleme, indirme ve dosya sistemlerini yönetebilir.
Brickstorm’dan sonra, dosyaları yüklemek ve rastgele komutları yürütmek için Python tabanlı bir araç olan Wirefire (diğer adıyla Yetenekli Ziyaretçi) Web kabuğu geldi. Saldırganlar bunu ilk kez 11 Ocak’ta, yani Ivanti’deki ilk güvenlik açıklarının kamuya açıklanmasından bir gün sonra, güvenliği ihlal edilmiş Ivanti cihazlarına yüklediler.
Daha sonra MITRE, saldırganların Perl tabanlı Web kabuğu Bushwalk aracılığıyla komuta ve kontrol gerçekleştirdiğini gözlemledi. Ancak bu Bushwalk’tan farklı bir varyanttı. o sırada rapor edilmişti Mandiant tarafından.
Saldırıda ayrıca, Web trafiği verilerini okuma ve şifreleme şekliyle dikkat çeken, daha önce belgelenmemiş bir Web kabuğu olan “Beeflush” da kullanıldı.
Blog gönderisini sonuçlandırmak için MITRE, tasarım gereği güvenli ve sıfır güven hareketlerinin yanı sıra sürekli kimlik doğrulama politikaları ve yazılım malzeme listeleri (SBOM’lar).
Critical Start siber tehdit araştırma müdürü Callie Guenther, “Siber saldırılara karşı hassasiyetleri, onların güvenilirliğini veya ATT&CK çerçevesinin değerini mutlaka zayıflatmaz” diye vurguluyor. “Siber güvenliğin doğası, tehdit aktörleri ve savunucuları arasında süregelen bir mücadeleyi içerir ve en güvenli ve bilgili kuruluşlar bile, özellikle sıfır gün güvenlik açıklarını içerdiğinde siber saldırıların kurbanı olabilir.”
“Gerçek şu ki bu durum, önde gelen kuruluşlar arasında bile siber güvenlik önlemlerinde sürekli dikkat, iyileştirme ve adaptasyon ihtiyacını vurguluyor” diyor.