wmtech logo

Hackers crearon máquinas virtuales (VM) maliciosas para evadir la detección en un reciente ataque cibernético a MITRE

Luis Quiles
Luis Quiles
server
Seguridad de Endpoint, Inteligencia de Amenazas

La Corporación MITRE ha revelado que el ataque cibernético dirigido a la compañía sin fines de lucro a finales de diciembre de 2023, que explotó vulnerabilidades de día cero en Ivanti Connect Secure (ICS), involucró a los actores de la amenaza creando máquinas virtuales (VM) maliciosas dentro de su entorno VMware.

«El adversario creó sus propias máquinas virtuales maliciosas dentro del entorno VMware, aprovechando el acceso comprometido al servidor vCenter», dijeron los investigadores de MITRE Lex Crumpton y Charles Clancy.

«Escribieron y desplegaron una web shell JSP (BEEFLUSH) bajo el servidor Tomcat del servidor vCenter para ejecutar una herramienta de túnel basada en Python, facilitando conexiones SSH entre las máquinas virtuales creadas por el adversario y la infraestructura del hipervisor ESXi.»

El motivo detrás de este movimiento es evadir la detección al oscurecer sus actividades maliciosas de las interfaces de gestión centralizadas como vCenter y mantener un acceso persistente mientras reducen el riesgo de ser descubiertos.

Los detalles del ataque emergieron el mes pasado cuando MITRE reveló que el actor de amenaza vinculado a China, rastreado por Mandiant de Google bajo el nombre UNC5221, vulneró su Entorno de Virtualización, Investigación y Experimentación en Red (NERVE) al explotar dos fallas en ICS, CVE-2023-46805 y CVE-2024-21887.

Después de eludir la autenticación multifactor y obtener un primer acceso, el adversario se movió lateralmente a través de la red y aprovechó una cuenta de administrador comprometida para tomar el control de la infraestructura VMware y desplegar varios backdoors y web shells para mantener el acceso y recolectar credenciales.

Esto consistió en un backdoor basado en Golang, denominado BRICKSTORM, que estaba presente dentro de las VMs maliciosas, y dos web shells referidos como BEEFLUSH y BUSHWALK, que permitieron a UNC5221 ejecutar comandos arbitrarios y comunicarse con servidores de comando y control.

«El adversario también utilizó una cuenta predeterminada de VMware, VPXUSER, para realizar siete llamadas API que enumeraron una lista de unidades montadas y desmontadas», dijo MITRE.

«Las VMs maliciosas operan fuera de los procesos de gestión estándar y no se adhieren a las políticas de seguridad establecidas, lo que las hace difíciles de detectar y gestionar solo a través de la interfaz gráfica de usuario (GUI). En su lugar, se necesitan herramientas o técnicas especiales para identificar y mitigar eficazmente los riesgos asociados con las VMs maliciosas.»

server

Una contramedida efectiva contra los esfuerzos furtivos de los actores de amenazas para evadir la detección y mantener el acceso es habilitar el arranque seguro, que previene modificaciones no autorizadas al verificar la integridad del proceso de arranque.

La compañía también dijo que está poniendo a disposición dos scripts de PowerShell llamados Invoke-HiddenVMQuery y VirtualGHOST para ayudar a identificar y mitigar posibles amenazas dentro del entorno VMware.

«A medida que los adversarios continúan evolucionando sus tácticas y técnicas, es imperativo que las organizaciones permanezcan vigilantes y se adapten para defenderse contra las amenazas cibernéticas», dijo MITRE.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.