Hackers hebben frauduleuze VM's gemaakt om detectie te omzeilen bij recente MITRE-cyberaanvallen

De MITRE Corporation heeft onthuld dat de cyberaanval die eind december 2023 op het non-profitbedrijf was gericht door misbruik te maken van zero-day-fouten in Ivanti Connect Secure (ICS), betrekking had op het creëren van malafide virtuele machines (VM's) binnen zijn VMware-omgeving.

“De tegenstander creëerde zijn eigen malafide VM's binnen de VMware-omgeving en maakte daarbij gebruik van gecompromitteerde vCenter Server-toegang”, aldus MITRE-onderzoekers Lex Crumpton en Charles Clancy.

“Ze schreven en implementeerden een JSP-webshell (BEEFLUSH) onder de Tomcat-server van vCenter Server om een ​​op Python gebaseerde tunnelingtool uit te voeren, waardoor SSH-verbindingen tussen door de tegenstander gemaakte VM's en de ESXi-hypervisorinfrastructuur mogelijk werden gemaakt.”

Het motief achter een dergelijke stap is om detectie te omzeilen door hun kwaadaardige activiteiten te verbergen voor gecentraliseerde beheerinterfaces zoals vCenter en permanente toegang te behouden terwijl het risico om ontdekt te worden wordt verkleind.

Details van de aanval kwamen vorige maand naar voren toen MITRE onthulde dat de Chinese nexus-bedreigingsacteur – gevolgd door Mandiant, eigendom van Google onder de naam UNC5221 – zijn Networked Experimentation, Research, and Virtualization Environment (NERVE) had geschonden door misbruik te maken van twee ICS-fouten CVE -2023-46805 en CVE-2024-21887.

Nadat de multifactorauthenticatie werd omzeild en een eerste voet aan de grond kreeg, verplaatste de tegenstander zich lateraal over het netwerk en maakte gebruik van een gecompromitteerd beheerdersaccount om de controle over de VMware-infrastructuur over te nemen en verschillende backdoors en webshells in te zetten om de toegang te behouden en inloggegevens te verzamelen.

Deze bestond uit een op Golang gebaseerde achterdeur met de codenaam BRICKSTORM die aanwezig was in de malafide VM's en twee webshells genaamd BEEFLUSH en BUSHWALK, waardoor UNC5221 willekeurige opdrachten kon uitvoeren en kon communiceren met command-and-control-servers.

“De tegenstander gebruikte ook een standaard VMware-account, VPXUSER, om zeven API-aanroepen uit te voeren die een lijst met gekoppelde en niet-gekoppelde schijven opsomden”, aldus MITRE.

“Rogue VM’s opereren buiten de standaard beheerprocessen en houden zich niet aan het gevestigde beveiligingsbeleid, waardoor ze moeilijk te detecteren en te beheren zijn via de GUI alleen. In plaats daarvan zijn speciale tools of technieken nodig om de risico’s die gepaard gaan met frauduleuze VM’s effectief te identificeren en te beperken. “

Een effectieve tegenmaatregel tegen de heimelijke pogingen van bedreigingsactoren om detectie te omzeilen en toegang te behouden, is het inschakelen van beveiligd opstarten, dat ongeoorloofde wijzigingen voorkomt door de integriteit van het opstartproces te verifiëren.

Het bedrijf zei dat het ook twee PowerShell-scripts beschikbaar stelt, genaamd Invoke-HiddenVMQuery en VirtualGHOST, om potentiële bedreigingen binnen de VMware-omgeving te helpen identificeren en beperken.

“Terwijl tegenstanders hun tactieken en technieken blijven ontwikkelen, is het absoluut noodzakelijk dat organisaties waakzaam en adaptief blijven in de verdediging tegen cyberdreigingen”, aldus MITRE.

Thijs Van der Does