La Corporación MITRE ha ofrecido más detalles sobre el ciberataque recientemente revelado, afirmando que la primera evidencia de la intrusión se remonta al 31 de diciembre de 2023.
El ataque, que salió a la luz el mes pasadodestacó el entorno de experimentación, investigación y virtualización en red (NERVE) de MITRE mediante la explotación de dos vulnerabilidades de día cero de Ivanti Connect Secure rastreadas como CVE-2023–46805 y CVE-2024–21887, respectivamente.
«El adversario maniobró dentro de la red de investigación a través de la infraestructura VMware usando una cuenta de administrador comprometida, luego empleó una combinación de puertas traseras y shells web para mantener la persistencia y recolectar credenciales», MITRE dicho.
Si bien la organización había revelado previamente que los atacantes realizaron un reconocimiento de sus redes a partir de enero de 2024, la última inmersión técnica profunda muestra los primeros signos de compromiso a fines de diciembre de 2023, cuando el adversario lanzó un shell web basado en Perl llamado RAÍZ ROJA para el acceso inicial.
ROOTROT, según Mandiant, propiedad de Google, está integrado en un archivo .ttc legítimo de Connect Secure ubicado en «/data/runtime/tmp/tt/setcookie.thtml.ttc» y es obra de un grupo de ciberespionaje de China-nexus denominado UNC5221. , que también está vinculado a otros shells web como BUSHWALK, CHAINLINE, FRAMESTING y LIGHTWIRE.
Después de la implementación del web shell, el actor de amenazas perfiló el entorno de NERVE y estableció comunicación con múltiples hosts ESXi, estableciendo finalmente el control sobre la infraestructura VMware de MITRE y eliminando una puerta trasera de Golang llamada BRICKSTORM y un web shell previamente indocumentado denominado BEEFLUSH.
«Estas acciones establecieron un acceso persistente y permitieron al adversario ejecutar comandos arbitrarios y comunicarse con servidores de comando y control», explicó el investigador de MITRE, Lex Crumpton. «El adversario utilizó técnicas como la manipulación SSH y la ejecución de scripts sospechosos para mantener el control sobre los sistemas comprometidos».
Un análisis más detallado ha determinado que el actor de amenazas también implementó otro shell web conocido como FUEGO DE ALAMBRE (también conocido como GIFTEDVISITOR) un día después de la divulgación pública de las fallas gemelas el 11 de enero de 2024, para facilitar la comunicación encubierta y la exfiltración de datos.
Además de utilizar el CAMINATA web shell para transmitir datos desde la red NERVE a la infraestructura de comando y control el 19 de enero de 2024, se dice que el adversario intentó un movimiento lateral y mantuvo la persistencia dentro de NERVE desde febrero hasta mediados de marzo.
«El adversario ejecutó un comando ping para uno de los controladores de dominio corporativos de MITRE e intentó moverse lateralmente hacia los sistemas MITRE pero no tuvo éxito», dijo Crumpton.