Detalhes da violação do MITRE revelam sucessos e falhas dos invasores

Detalhes da violação do MITRE revelam sucessos e falhas dos invasores. O MITRE compartilhou um cronograma da recente violação da qual foi vítima e confirmou que ela começou mais cedo do que se pensava: em 31 de dezembro de 2023.

Naquele dia, os invasores implantaram um web shell em um dispositivo Ivanti Connect Secure VPN externo, explorando CVE-2023–46805 e CVE-2024–21887, dois dias zero cuja existência se tornou publicamente conhecida no início de janeiro, quando os patches ainda eram indisponível.

Ferramentas e técnicas usadas para violar o MITRE

Os invasores aproveitaram o dia zero da Ivanti para obter acesso à rede de pesquisa e prototipagem da organização, a partir da qual realizaram reconhecimento adicional, migraram para seu ambiente VMware e extraíram dados.

Eles usaram credenciais de contas administrativas comprometidas, web shells e backdoors para manter o acesso persistente e se comunicar com a infraestrutura de comando e controle, compartilharam o principal engenheiro de segurança cibernética da organização, Lex Crumpton, e o CTO Charles Clancy .

Alguns dos web shells usados ​​foram documentados anteriormente pela Volexity e Mandiant e acredita-se que sejam manejados por um ator de ameaça chinês.

“UNC5221 é um suposto ator do nexo com a China que a Mandiant está rastreando como o único grupo que explora CVE-2023-46805 e CVE-2024-21887 durante o período de pré-divulgação desde o início de dezembro de 2023”, observaram analistas da Mandiant no início de abril.

(O MITRE não diz que o UNC5221 está por trás do ataque, apenas que “os indicadores observados durante o incidente se sobrepõem aos descritos no relatório de inteligência de ameaças da Mandiant sobre o UNC5221).

Um dos web shells (“BEEFLUSH”) usado por esses invasores foi detectado pela primeira vez.

A exfiltração de dados comprometidos começou em 19 de janeiro e os invasores tentaram (e não conseguiram) migrar para outros recursos fora do ambiente VMware durante fevereiro e março.

O MITRE prometeu compartilhar detalhes adicionais sobre as técnicas de persistência do adversário na próxima semana, quando também fornecerão ferramentas de detecção.

Fonte: Help Net Security

Veja também:

• IA generativa transforma a essência do seguro cibernético
• Anunciamos a visualização privada do DNS Zero Trust
• Brasil sofreu 60 bilhões de tentativas de ataques cibernéticos
• Vulnerabilidade Telefone IP Cisco Permite Ataque DoS
• CISA alerta sobre vulnerabilidade de redefinição de senha do GitLab
• CISA e FBI incentiva eliminar vulnerabilidades de passagem de diretório
• Como funciona a segurança por trás da nova solução Click to Pay
• 4 melhorias em segurança sem impactar negativamente usuário
• Violação do Dropbox expõe credenciais de clientes e dados de autenticação
• Roubando sua conta do Telegram em 10 segundos
• Mais de 2 bilhões de cookies vazados na dark web são do Brasil
• 90% dos ataques a empresas começam com e-mail de phishing