Generatív adatintelligencia

Kiberbiztonság

MITER ATT&CKED: Az InfoSec legmegbízhatóbb neve Ivanti Bugs

Platón újra közzététele
Platón újra közzététele

Találka:

Megtekintések: 0

Foreign nation-state hackers have used vulnerable Ivanti edge devices to gain three months’ worth of “deep” access to one of MITRE Corp.’s unclassified networks.

MITRE, az általánosan ismert kibertámadási technikákról szóló, mindenütt jelenlévő ATT&CK szószedet stewardja, korábban 15 éven át nem történt komolyabb incidens. A sorozat januárban szakadt meg, amikor pl annyi más szervezet, its Ivanti gateway devices were exploited.

A jogsértés a Hálózati Kísérleti, Kutatási és Virtualizációs Környezetet (NERVE) érintette, egy besorolatlan, együttműködésen alapuló hálózatot, amelyet a szervezet kutatásra, fejlesztésre és prototípus-készítésre használ. Az IDEG károsodás mértékének felmérése folyamatban van.

A Dark Reading megkereste a MITER-t, hogy megerősítse a támadás idővonalát és részleteit. A MITER további felvilágosítást nem adott.

MITRE ATT&CK

Ne hagyd abba, ha hallottál már ilyet: Januárban, egy kezdeti felderítési időszak után, egy fenyegetettség szereplője kihasználta a vállalat egyik virtuális magánhálózatát (VPN) keresztül. két Ivanti Connect Secure nulladik napi sebezhetőség (ATT&CK technika T1190, Exploit Public-Facing Applications).

A találmány egy blogbejegyzés A MITRE Fenyegetés-informált Védelmi Központjától a támadók megkerülték a rendszert védő többtényezős hitelesítést (MFA) néhány munkamenet-eltérítéssel (MITRE ATT&CK T1563, Remote Service Session Hijacking).

Megkíséreltek több különböző távoli szolgáltatást (T1021, Remote Services) kihasználni, beleértve a Remote Desktop Protocol-t (RDP) és a Secure Shell-t (SSH), hogy hozzáférjenek egy érvényes rendszergazdai fiókhoz (T1078, Valid Accounts). Ezzel elfordultak és „mélyre ástak” a hálózat VMware virtualizációs infrastruktúrájában.

Ott webhéjakat (T1505.003, kiszolgálószoftver-összetevő: Web Shell) telepítettek a kitartás érdekében, és hátsó ajtókat a parancsok futtatásához (T1059, parancs- és parancsfájl értelmező), valamint a hitelesítő adatok ellopásához, és az ellopott adatokat egy parancs- és vezérlőszerverre szűrték ki. (T1041, Exfiltration Over C2 Channel). A tevékenység elrejtéséhez a csoport létrehozta a saját virtuális példányait, amelyek a környezetben futnak (T1564.006, Műtermékek elrejtése: Virtuális példány futtatása).

MITRE védelme

„Nem szabad félvállról venni ennek a kibertámadásnak a hatását” – mondja Darren Guccione, a Keeper Security vezérigazgatója és társalapítója, kiemelve „mind a támadók külföldi kapcsolatait, mind a támadók azon képességét, hogy kihasználjanak két komoly nulladik napi sebezhetőséget. a MITRE NERVE kompromittálására irányuló törekvésük, amely potenciálisan érzékeny kutatási adatokat és szellemi tulajdont fedhet fel.”

Azt állítja, hogy „a nemzetállam szereplői gyakran stratégiai motivációkat húznak meg kiberműveleteik mögött, és egy olyan prominens kutatóintézet, mint a MITRE, az Egyesült Államok kormányának megbízásából való megcélzása csak egy része lehet egy nagyobb erőfeszítésnek.”

Whatever its goals were, the hackers had ample time to carry them out. Though the compromise occurred in January, MITRE was only able to detect it in April, leaving a quarter-year gap in between.

„A MITRE követte a bevált gyakorlatokat, a gyártói utasításokat és a kormány tanácsait frissíteni, cserélni és keményíteni Ivanti rendszerünket– írta a szervezet a Mediumon, „de nem észleltük a VMware infrastruktúránkba való oldalirányú mozgást. Akkoriban úgy gondoltuk, hogy minden szükséges intézkedést megtettünk a sebezhetőség csökkentése érdekében, de ezek az intézkedések nyilvánvalóan elégtelenek voltak. "

Editor’s note: An earlier version of the story attributed the attacks to UNC5221. That attribution has not been made at this time.

spot_img

Legújabb intelligencia

spot_img

Copyright @ 2024 Plato Technologies Inc.

Beszélj velünk

Szia! Miben segíthetek?