Inteligência de dados generativa

Cíber segurança

MITRE AT&CKED: O nome mais confiável da InfoSec cai para Ivanti Bugs

Republicado por Platão
Republicado por Platão

Data:

Visualizações: 0

Foreign nation-state hackers have used vulnerable Ivanti edge devices to gain three months’ worth of “deep” access to one of MITRE Corp.’s unclassified networks.

MITRE, administrador do onipresente glossário ATT&CK de técnicas de ataque cibernético comumente conhecidas, já passou 15 anos sem nenhum incidente grave. A seqüência de rebatidas quebrou em janeiro, quando, como tantas outras organizações, its Ivanti gateway devices were exploited.

A violação afetou o Ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE), uma rede colaborativa não classificada que a organização usa para pesquisa, desenvolvimento e prototipagem. A extensão dos danos ao NERVE (trocadilho intencional) está sendo avaliada atualmente.

Dark Reading entrou em contato com MITRE para confirmar o cronograma e os detalhes do ataque. MITRE não forneceu maiores esclarecimentos.

ATT&CK do MITRE

Interrompa-me se você já ouviu isso antes: em janeiro, após um período inicial de reconhecimento, um agente de ameaça explorou uma das redes privadas virtuais (VPNs) da empresa por meio de duas vulnerabilidades de dia zero do Ivanti Connect Secure (Técnica ATT&CK T1190, Explorar aplicativos voltados ao público).

De acordo com uma no blog do Centro de Defesa Informada sobre Ameaças do MITRE, os invasores contornaram a autenticação multifator (MFA) que protegia o sistema com algum sequestro de sessão (MITRE ATT&CK T1563, Remote Service Session Hijacking).

Eles tentaram aproveitar vários serviços remotos diferentes (T1021, Remote Services), incluindo o Remote Desktop Protocol (RDP) e Secure Shell (SSH), para obter acesso a uma conta de administrador válida (T1078, Valid Accounts). Com isso, eles se aprofundaram e se aprofundaram na infraestrutura de virtualização VMware da rede.

Lá, eles implantaram web shells (T1505.003, Server Software Component: Web Shell) para persistência e backdoors para executar comandos (T1059, Command and Scripting Interpreter) e roubar credenciais, exfiltrando quaisquer dados roubados para um servidor de comando e controle (T1041, Exfiltração pelo Canal C2). Para ocultar essa atividade, o grupo criou suas próprias instâncias virtuais para execução no ambiente (T1564.006, Ocultar artefatos: executar instância virtual).

Defesa do MITRE

“O impacto deste ataque cibernético não deve ser encarado levianamente”, afirma Darren Guccione, CEO e cofundador da Keeper Security, destacando “tanto os laços externos dos atacantes como a capacidade dos atacantes de explorar duas vulnerabilidades graves de dia zero em sua busca para comprometer o NERVE do MITRE, o que poderia potencialmente expor dados de pesquisa confidenciais e propriedade intelectual.”

Ele postula: “Os intervenientes do Estado-nação têm frequentemente motivações estratégicas por detrás das suas operações cibernéticas, e o direcionamento de uma instituição de investigação proeminente como o MITRE, que trabalha em nome do governo dos EUA, poderia ser apenas um componente de um esforço maior”.

Whatever its goals were, the hackers had ample time to carry them out. Though the compromise occurred in January, MITRE was only able to detect it in April, leaving a quarter-year gap in between.

“O MITRE seguiu as melhores práticas, as instruções do fornecedor e os conselhos do governo para atualizar, substituir e fortalecer nosso sistema Ivanti”, escreveu a organização no Medium, “mas não detectamos o movimento lateral em nossa infraestrutura VMware. Na época, acreditávamos ter tomado todas as ações necessárias para mitigar a vulnerabilidade, mas essas ações foram claramente insuficientes. "

Editor’s note: An earlier version of the story attributed the attacks to UNC5221. That attribution has not been made at this time.

local_img

Inteligência mais recente

local_img

Direitos autorais @ 2024 Plato Technologies Inc.

Fale Conosco

Olá! Como posso ajudá-lo?