MITRE Corporation сообщилао кибератаке на их некоммерческую организацию в конце декабря 2023 года. Атакующие использовали уязвимости нулевого дня в Ivanti Connect Secure (ICS) для создания поддельных виртуальных машин VMware.
Злоумышленники получили доступ к серверу vCenter и создали собственные виртуальные машины в среде VMware. Хакеры внедрили веб-оболочку JSP (BEEFLUSH) на сервер vCenter Server Tomcat для запуска инструмента туннелирования на основе Python, что позволило киберпреступникам установить SSH-соединения между созданными виртуальными машинами и инфраструктурой гипервизора ESXi.
Целью атаки было скрыть свои действия от интерфейса централизованного управления (vCenter) и сохранить постоянный доступ, сводя к минимуму риск обнаружения. Подробности атаки появились еще в апреле, когда MITRE установила,что за атакой стоит китайская группировка UNC5221, которая проникла в исследовательскую среду NERVE с использованием двух уязвимостей ICS ( CVE-2023-46805 и CVE-2024-21887 ).
После обхода многофакторной аутентификации и получения начального доступа, злоумышленники продвинулись по сети, используя скомпрометированную учетную запись администратора для контроля над инфраструктурой VMware. Хакеры развернули несколько бэкдоров и веб-оболочек для сохранения доступа и кражи учетных данных. Среди них был бэкдор на языке Go под кодовым названием BRICKSTORM, а также веб-оболочки BEEFLUSH и BUSHWALK, которые позволяли выполнять произвольные команды и связываться с серверами управления.
Также злоумышленники использовали стандартную учетную запись VMware, VPXUSER, для выполнения семи API-запросов, чтобы перечислить список подключенных и отключенных дисков.
Специалисты объясняют, что поддельные виртуальные машины работают вне стандартных процессов управления и не подчиняются установленным политикам безопасности, что делает их трудно обнаруживаемыми и сложными для управления через графический интерфейс. Для выявления и устранения рисков, связанных с такими машинами, необходимы специальные инструменты или методы.
Одной из эффективных мер противодействия скрытным попыткам атакующих является включение безопасной загрузки, которая предотвращает несанкционированные изменения, проверяя целостность процесса загрузки. Компания также предоставила два скрипта PowerShell [ 1и 2 ] для выявления и устранения потенциальных угроз в среде VMware.