외국 국가 해커들은 취약한 Ivanti 엣지 장치를 사용하여 MITRE Corp.의 기밀되지 않은 네트워크 중 하나에 3개월 동안 "깊은" 액세스 권한을 얻었습니다.
일반적으로 알려진 사이버 공격 기술에 대한 유비쿼터스 ATT&CK 용어집을 관리하는 MITRE는 이전에 15년 동안 큰 사고 없이 지냈습니다. 이 연속 행진은 XNUMX월에 끊어졌습니다. 다른 조직도 너무 많아, Ivanti 게이트웨이 장치가 악용되었습니다.
이번 침해는 조직이 연구, 개발, 프로토타입 제작에 사용하는 기밀되지 않은 협업 네트워크인 NERVE(Networked Experimentation, Research, and Virtualization Environment)에 영향을 미쳤습니다. NERVE 손상(말장난 의도)의 정도는 현재 평가 중입니다.
Dark Reading은 공격의 일정과 세부 사항을 확인하기 위해 MITRE에 연락했습니다. MITRE는 추가 설명을 제공하지 않았습니다.
MITRE의 ATT&CK
이전에 이런 말을 들어본 적이 있다면 중지하십시오. 1월에 초기 정찰 기간 이후 위협 행위자는 회사의 가상 사설망(VPN) 중 하나를 다음을 통해 악용했습니다. Ivanti Connect Secure 제로데이 취약점 2개 (ATT&CK 기술 T1190, 공개 애플리케이션 활용).
A에 따라 블로그 게시물 MITRE의 Center for Threat-Informed Defense에서 공격자는 일부 세션 하이재킹(MITRE ATT&CK T1563, 원격 서비스 세션 하이재킹)을 사용하여 시스템을 보호하는 다중 요소 인증(MFA)을 우회했습니다.
이들은 유효한 관리자 계정(T1021, 유효한 계정)에 액세스하기 위해 RDP(원격 데스크톱 프로토콜) 및 SSH(보안 셸)를 포함한 여러 가지 원격 서비스(T1078, 원격 서비스)를 활용하려고 시도했습니다. 이를 통해 그들은 네트워크의 VMware 가상화 인프라를 중심으로 "깊이 파고들었습니다".
그곳에서 그들은 지속성을 위해 웹 셸(T1505.003, 서버 소프트웨어 구성 요소: 웹 셸)을 배포하고 명령(T1059, 명령 및 스크립팅 인터프리터)을 실행하고 자격 증명을 도용하여 훔친 데이터를 명령 및 제어 서버로 유출하는 백도어를 배포했습니다. (T1041, C2 채널을 통한 유출). 이 활동을 숨기기 위해 그룹은 환경 내에서 실행할 자체 가상 인스턴스를 만들었습니다(T1564.006, 아티팩트 숨기기: 가상 인스턴스 실행).
MITRE의 방어
Keeper Security의 CEO이자 공동 창립자인 Darren Guccione는 "이번 사이버 공격의 영향을 가볍게 여겨서는 안 됩니다"라고 말하며 "공격자들의 외국 관계와 공격자가 시스템의 두 가지 심각한 제로 데이 취약점을 악용할 수 있는 능력을 모두 갖추고 있습니다."라고 강조했습니다. 민감한 연구 데이터와 지적 재산을 잠재적으로 노출시킬 수 있는 MITRE의 신경을 손상시키려는 그들의 탐구입니다.”
그는 "국가 행위자는 사이버 작전 뒤에 전략적 동기를 갖고 있는 경우가 많으며, 미국 정부를 대신하여 일하는 MITRE와 같은 저명한 연구 기관을 표적으로 삼는 것은 더 큰 노력의 한 구성 요소일 수 있습니다."라고 가정합니다.
목표가 무엇이든 해커는 이를 수행할 충분한 시간을 가졌습니다. 손상은 1월에 발생했지만 MITRE는 4월에만 이를 탐지할 수 있었으며 그 사이에는 1년의 공백이 있었습니다.
“MITRE는 모범 사례, 공급업체 지침 및 정부의 조언을 따랐습니다. Ivanti 시스템 업그레이드, 교체 및 강화"라고 조직은 Medium에 썼습니다. "그러나 우리는 VMware 인프라로의 측면 이동을 감지하지 못했습니다. 당시 우리는 취약점을 완화하기 위해 필요한 모든 조치를 취했다고 믿었지만 이러한 조치는 분명히 부족했습니다. "
편집자 주: 기사의 이전 버전에서는 공격이 UNC5221에 의한 것으로 간주했습니다. 현재로서는 해당 귀속이 이루어지지 않았습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs
