La Corporación MITRE ha desvelado más detalles sobre el ciberataque reciente, revelando que la primera evidencia del ataque se remonta al 31 de diciembre de 2023.
El ataque, divulgado el mes pasado, se centró en el Entorno de Experimentación, Investigación y Virtualización en Red de MITRE (NERVE) al explotar dos vulnerabilidades zero-day de Ivanti Connect Secure, identificadas como CVE-2023-46805 y CVE-2024-21887, respectivamente.
MITRE comunicó que el adversario se infiltró en la red de investigación a través de la infraestructura de VMware utilizando una cuenta de administrador comprometida. Luego, emplearon puertas traseras y web shells para mantener el acceso y recopilar credenciales.
Aunque la organización había mencionado anteriormente que los atacantes llevaban a cabo operaciones de reconocimiento desde enero de 2024, el análisis más reciente sitúa el inicio del compromiso a finales de diciembre de 2023, cuando el adversario dejó un web shell llamado ROOTROT para el acceso inicial.
Según Mandiant, ROOTROT, incrustado en un archivo .ttc de Connect Secure legítimo y atribuido a un grupo de espionaje cibernético con conexiones a China, es obra de UNC5221, también relacionado con otros web shells como BUSHWALK, CHAINLINE, FRAMESTING y LIGHTWIRE.
Tras desplegar el web shell, el actor amenazante perfiló el entorno NERVE y estableció comunicación con varios hosts ESXi, tomando finalmente el control de la infraestructura de VMware de MITRE. Además, dejó una puerta trasera llamada BRICKSTORM y un web shell no documentado denominado BEEFLUSH.
De acuerdo con el investigador de MITRE, Lex Crumpton, estas acciones permitieron al adversario establecer acceso persistente, ejecutar comandos arbitrarios y comunicarse con servidores de control de comandos utilizando técnicas como la manipulación SSH y la ejecución de scripts sospechosos.
Se ha determinado que el actor amenazante también desplegó el web shell conocido como WIREFIRE (también GIFTEDVISITOR) un día después de la divulgación pública de las dos fallas el 11 de enero de 2024, con el propósito de facilitar la comunicación encubierta y la exfiltración de datos.
Además, el adversario intentó el movimiento lateral y mantuvo la persistencia dentro de NERVE desde febrero hasta mediados de marzo, incluyendo un intento fallido de moverse hacia los sistemas MITRE desde el 19 de enero de 2024.
Vía The Hacker News
