Detalhes da violação do MITRE revelam sucessos e falhas dos invasores. O MITRE compartilhou um cronograma da recente violação da qual foi vítima e confirmou que ela começou mais cedo do que se pensava: em 31 de dezembro de 2023.
Naquele dia, os invasores implantaram um web shell em um dispositivo Ivanti Connect Secure VPN externo, explorando CVE-2023–46805 e CVE-2024–21887, dois dias zero cuja existência se tornou publicamente conhecida no início de janeiro, quando os patches ainda eram indisponível.
Ferramentas e técnicas usadas para violar o MITRE
Os invasores aproveitaram o dia zero da Ivanti para obter acesso à rede de pesquisa e prototipagem da organização, a partir da qual realizaram reconhecimento adicional, migraram para seu ambiente VMware e extraíram dados.
Eles usaram credenciais de contas administrativas comprometidas, web shells e backdoors para manter o acesso persistente e se comunicar com a infraestrutura de comando e controle, compartilharam o principal engenheiro de segurança cibernética da organização, Lex Crumpton, e o CTO Charles Clancy .
Alguns dos web shells usados foram documentados anteriormente pela Volexity e Mandiant e acredita-se que sejam manejados por um ator de ameaça chinês.
“UNC5221 é um suposto ator do nexo com a China que a Mandiant está rastreando como o único grupo que explora CVE-2023-46805 e CVE-2024-21887 durante o período de pré-divulgação desde o início de dezembro de 2023”, observaram analistas da Mandiant no início de abril.
(O MITRE não diz que o UNC5221 está por trás do ataque, apenas que “os indicadores observados durante o incidente se sobrepõem aos descritos no relatório de inteligência de ameaças da Mandiant sobre o UNC5221).
Um dos web shells (“BEEFLUSH”) usado por esses invasores foi detectado pela primeira vez.
A exfiltração de dados comprometidos começou em 19 de janeiro e os invasores tentaram (e não conseguiram) migrar para outros recursos fora do ambiente VMware durante fevereiro e março.
O MITRE prometeu compartilhar detalhes adicionais sobre as técnicas de persistência do adversário na próxima semana, quando também fornecerão ferramentas de detecção.
Fonte: Help Net Security
Veja também:
- IA generativa transforma a essência do seguro cibernético
- Anunciamos a visualização privada do DNS Zero Trust
- Brasil sofreu 60 bilhões de tentativas de ataques cibernéticos
- Vulnerabilidade Telefone IP Cisco Permite Ataque DoS
- CISA alerta sobre vulnerabilidade de redefinição de senha do GitLab
- CISA e FBI incentiva eliminar vulnerabilidades de passagem de diretório
- Como funciona a segurança por trás da nova solução Click to Pay
- 4 melhorias em segurança sem impactar negativamente usuário
- Violação do Dropbox expõe credenciais de clientes e dados de autenticação
- Roubando sua conta do Telegram em 10 segundos
- Mais de 2 bilhões de cookies vazados na dark web são do Brasil
- 90% dos ataques a empresas começam com e-mail de phishing
Deixe sua opinião!