El reciente ciberataque a MITRE reveló una táctica sorprendente: los atacantes crearonmáquinas virtuales maliciosas dentro del entorno de VMware, utilizando fallosde día cero en Ivanti Connect Secure.
Esto les permitió eludir la detección al ocultar sus actividades maliciosas de las interfaces de administración centralizadas como vCenter, mientras mantenían un acceso persistente y minimizaban el riesgo de ser descubiertos.
Los detalles delataque surgieron el mes pasado cuando MITRE reveló que el actor de amenazas del nexo con China, rastreado por Mandiant, propiedad de Google, bajo el nombre deUNC5221, violó su entorno de experimentación, investigación y virtualización enred (NERVE) al explotar dos fallas de ICS, CVE-2023-46805 y CVE-2024-21887.
Los atacantes desplegaron una serie de tácticas avanzadas. Desde el movimiento lateral através de la red hasta la toma de control de la infraestructura de VMware, el adversario demostró una habilidad excepcional para mantener el acceso y recopilar credenciales.
La utilización de puertas traseras como BRICKSTORM y shells web como BEEFLUSH y BUSHWALK ilustra la sofisticación de sus operaciones.
Además, el uso de una cuenta predeterminada de VMware pararealizar acciones como enumerar unidades montadas y desmontadas resalta suprofundo conocimiento del entorno objetivo. La presencia de máquinas virtuales no autorizadas plantea un desafío significativo, ya que operan fuera de los procesos de administración estándar y no se adhieren a las políticas deseguridad establecidas.
Este aspecto subraya la necesidad de herramientas y técnicas especializadas para identificary mitigar eficazmente los riesgos asociados con estas máquinas virtuales, destacando la importancia de una vigilancia constante y una respuesta ágil anteamenazas cibernéticas cada vez más complejas.