MITRE, mağdur olması durumunda son ihlalin zaman çizelgesini paylaştı ve bunun önceden düşünülenden daha erken başladığını doğruladı: 31 Aralık 2023.
O gün, saldırganlar, yamaların hala mevcut olduğu Ocak ayının başında kamuoyuna duyurulan iki sıfır gün olan CVE-2023–46805 ve CVE-2024–21887’yi kullanarak dışarıya bakan Ivanti Connect Secure VPN cihazına bir web kabuğu yerleştirdiler. kullanım dışı.
MITRE’yi ihlal etmek için kullanılan araçlar ve teknikler
Saldırganlar, kuruluşun araştırma ve prototip oluşturma ağına erişim sağlamak için Ivanti sıfır günlerinden yararlandı; buradan ek keşif gerçekleştirdiler, VMware ortamına geçtiler ve verileri sızdırdılar.
Kuruluşun baş siber güvenlik mühendisi Lex Crumpton ve CTO Charles Clancy, kalıcı erişimi sürdürmek ve komuta ve kontrol altyapısıyla iletişim kurmak için güvenliği ihlal edilmiş idari hesap kimlik bilgilerini, web kabuklarını ve arka kapıları kullandıklarını paylaştı.
Kullanılan ağ kabuklarından bazılarının daha önce Volexity ve Mandiant tarafından belgelendiği ve Çinli bir tehdit aktörü tarafından kullanıldığına inanılıyor.
Mandiant analistleri Nisan ayı başlarında şunları kaydetti: “UNC5221, Mandiant’ın Aralık 2023’ün başlarından bu yana açıklama öncesi zaman diliminde CVE-2023-46805 ve CVE-2024-21887’yi kullanan tek grup olarak takip ettiği şüpheli bir Çin bağlantısı aktörüdür.”
(MITRE, saldırının arkasında UNC5221’in olduğunu söylemiyor, yalnızca “olay sırasında gözlemlenen göstergelerin, UNC5221’e ilişkin Mandiant tehdit istihbaratı raporunda açıklananlarla örtüştüğü” belirtiliyor.)
Saldırganların kullandığı ağ kabuklarından biri (“BEEFLUSH”) ilk kez tespit edildi.
Güvenliği ihlal edilen verilerin sızması 19 Ocak’ta başladı ve saldırganlar Şubat ve Mart ayları boyunca VMware ortamı dışındaki diğer kaynaklara yönelmeyi denedi (ve başarısız oldu).
MITRE, düşmanın ısrar teknikleri hakkında ek ayrıntıları önümüzdeki hafta paylaşmaya söz verdi ve bu teknikler aynı zamanda tespit için araçlar da sağlayacak.