Detalhes da violação do MITRE revelam sucessos e falhas dos invasores

Detalhes da violação do MITRE revelam sucessos e falhas dos invasores. O MITRE compartilhou um cronograma da recente violação da qual foi vítima e confirmou que ela começou mais cedo do que se pensava: em 31 de dezembro de 2023.

Naquele dia, os invasores implantaram um web shell em um dispositivo Ivanti Connect Secure VPN externo, explorando CVE-2023–46805 e CVE-2024–21887, dois dias zero cuja existência se tornou publicamente conhecida no início de janeiro, quando os patches ainda eram indisponível.

Ferramentas e técnicas usadas para violar o MITRE

Os invasores aproveitaram o dia zero da Ivanti para obter acesso à rede de pesquisa e prototipagem da organização, a partir da qual realizaram reconhecimento adicional, migraram para seu ambiente VMware e extraíram dados.

Eles usaram credenciais de contas administrativas comprometidas, web shells e backdoors para manter o acesso persistente e se comunicar com a infraestrutura de comando e controle, compartilharam o principal engenheiro de segurança cibernética da organização, Lex Crumpton, e o CTO Charles Clancy .

Alguns dos web shells usados ​​foram documentados anteriormente pela Volexity e Mandiant e acredita-se que sejam manejados por um ator de ameaça chinês.

“UNC5221 é um suposto ator do nexo com a China que a Mandiant está rastreando como o único grupo que explora CVE-2023-46805 e CVE-2024-21887 durante o período de pré-divulgação desde o início de dezembro de 2023”, observaram analistas da Mandiant no início de abril.

(O MITRE não diz que o UNC5221 está por trás do ataque, apenas que “os indicadores observados durante o incidente se sobrepõem aos descritos no relatório de inteligência de ameaças da Mandiant sobre o UNC5221).

Um dos web shells (“BEEFLUSH”) usado por esses invasores foi detectado pela primeira vez.

A exfiltração de dados comprometidos começou em 19 de janeiro e os invasores tentaram (e não conseguiram) migrar para outros recursos fora do ambiente VMware durante fevereiro e março.

O MITRE prometeu compartilhar detalhes adicionais sobre as técnicas de persistência do adversário na próxima semana, quando também fornecerão ferramentas de detecção.

Fonte: Help Net Security

Veja também:

Sobre mindsecblog 2475 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Criminosos usam campanhas de doações para aplicar golpes no RS

Deixe sua opinião!