外国黑客利用易受攻击的 Ivanti 边缘设备获得了对 MITRE Corp. 的一个非机密网络长达三个月的“深度”访问权限。
MITRE 是无处不在的 ATT&CK 众所周知的网络攻击技术术语表的管理者,此前已有 15 年没有发生过重大事件。这种连胜在一月份就结束了,就像 还有很多其他组织,其 Ivanti 网关设备被利用。
此次泄露影响了网络实验、研究和虚拟化环境 (NERVE),这是该组织用于研究、开发和原型设计的非机密协作网络。目前正在评估神经损伤的程度(双关语)。
Dark Reading联系了MITRE以确认攻击的时间表和细节。 MITRE 没有提供进一步的说明。
MITRE 的 ATT&CK
如果您以前听说过这个,请阻止我:一月份,经过最初的侦察期,威胁行为者通过以下方式利用了该公司的一个虚拟专用网络 (VPN): 两个 Ivanti Connect Secure 零日漏洞 (ATT&CK 技术 T1190,利用面向公众的应用程序)。
根据一个 博客文章 根据 MITRE 威胁通知防御中心的报告,攻击者通过一些会话劫持(MITRE ATT&CK T1563,远程服务会话劫持)绕过了保护系统的多重身份验证 (MFA)。
他们尝试利用多种不同的远程服务(T1021,远程服务),包括远程桌面协议(RDP)和安全外壳(SSH),来访问有效的管理员帐户(T1078,有效帐户)。有了它,他们转向并“深入挖掘”网络的 VMware 虚拟化基础设施。
在那里,他们部署了 Web shell(T1505.003,服务器软件组件:Web Shell)以实现持久性,并部署后门来运行命令(T1059,命令和脚本解释器)并窃取凭据,将任何被盗数据泄露到命令和控制服务器(T1041,通过 C2 通道渗漏)。为了隐藏此活动,该小组创建了自己的虚拟实例以在环境中运行(T1564.006,隐藏工件:运行虚拟实例)。
MITRE 的防御
Keeper Security 首席执行官兼联合创始人达伦·古乔内 (Darren Guccione) 表示:“不应轻视此次网络攻击的影响。”他强调“攻击者的外国关系以及攻击者利用两个严重的零日漏洞的能力”他们试图损害 MITRE 的 NERVE,这可能会暴露敏感的研究数据和知识产权。”
他认为,“民族国家行为者的网络行动背后往往有战略动机,而针对像 MITRE 这样代表美国政府工作的著名研究机构的攻击可能只是更大努力的一个组成部分。”
无论其目标是什么,黑客都有充足的时间来实现它们。尽管入侵发生在 1 月份,但 MITRE 直到 4 月份才检测到它,中间存在四分之一年的差距。
“MITRE 遵循最佳实践、供应商说明和政府建议 升级、替换和强化我们的 Ivanti 系统,”该组织在 Medium 上写道,“但我们没有检测到横向移动到我们的 VMware 基础设施中。当时我们相信我们已经采取了所有必要的行动来减轻漏洞,但是 这些行动显然是不够的设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
编者注:该报道的早期版本将攻击归因于 UNC5221。目前尚未做出该归因。
