Hacker erstellten gefälschte VMs zur Tarnung im MITRE-Cyberangriff
Die MITRE Corporation hat herausgefunden, dass der Cyberangriff auf das gemeinnützige Unternehmen Ende Dezember 2023 durch die Ausnutzung von Zero-Day-Schwachstellen in Ivanti Connect Secure (ICS) erfolgte. Der Angreifer erstellte dabei betrügerische virtuelle Maschinen (VMs) in der VMware-Umgebung des Unternehmens.
„Der Angreifer erstellte eigene gefälschte VMs in der VMware-Umgebung und nutzte den kompromittierten Zugang zum vCenter Server“, erklärten die MITRE-Experten Lex Crumpton und Charles Clancy. „Sie installierten eine BEEFLUSH JSP-Web-Shell auf dem Tomcat-Server des vCenter Servers, um ein Python-Tool auszuführen, das SSH-Verbindungen zwischen den gefälschten VMs und der ESXi-Hypervisor-Infrastruktur ermöglichte.“
Das Ziel dieser Vorgehensweise ist es, eine Entdeckung zu umgehen, indem die bösartigen Aktivitäten vor zentralen Verwaltungsschnittstellen wie vCenter verborgen werden. Dadurch können die Angreifer dauerhaft Zugriff behalten und das Risiko, entdeckt zu werden, verringern.
Die Details des Angriffs wurden letzten Monat bekannt, als MITRE enthüllte, dass ein aus China stammender Hacker, den Mandiant (ein Unternehmen von Google) als UNC5221 identifizierte, in seine Networked Experimentation, Research, and Virtualization Environment (NERVE) eindrang. Dafür nutzte der Hacker zwei Schwachstellen in Ivanti Connect Secure (ICS) aus: CVE-2023-46805 und CVE-2024-21887.
Nachdem der Angreifer die Multi-Faktor-Authentifizierung umgangen hatte, bewegte er sich seitlich durch das Netzwerk und nutzte ein kompromittiertes Administratorkonto, um die Kontrolle über die VMware-Infrastruktur zu übernehmen. Er installierte verschiedene Hintertüren und Web-Shells, um den Zugang zu behalten und Anmeldeinformationen zu sammeln.
Dazu gehörten eine Golang-basierte Hintertür namens BRICKSTORM, die in den gefälschten VMs eingebettet war, sowie zwei Web-Shells namens BEEFLUSH und BUSHWALK. Diese ermöglichten es UNC5221, beliebige Befehle auszuführen und mit Command-and-Control-Servern zu kommunizieren.
„Der Angreifer nutzte außerdem ein Standard-VMware-Konto, VPXUSER, um sieben API-Aufrufe zu tätigen, die eine Liste der gemounteten und nicht gemounteten Laufwerke zurückspielen“, so MITRE. „Gefälschte VMs arbeiten außerhalb der normalen Verwaltungsprozesse und halten sich nicht an die etablierten Sicherheitsrichtlinien. Dadurch sind sie schwer über die grafische Benutzeroberfläche zu erkennen und zu verwalten. Man benötigt spezielle Werkzeuge oder Techniken, um die Risiken, die mit gefälschten VMs verbunden sind, zu identifizieren und zu minimieren.“
Eine wirksame Maßnahme gegen die heimlichen Versuche von Angreifern, unentdeckt zu bleiben und Zugang zu behalten, ist die Aktivierung des sicheren Bootvorgangs. Dieser verhindert unautorisierte Änderungen, indem er die Integrität des Bootvorgangs überprüft.
Das Unternehmen bietet außerdem zwei PowerShell-Skripte an, Invoke-HiddenVMQuery und VirtualGHOST, die helfen, potenzielle Bedrohungen in der VMware-Umgebung zu erkennen und zu beseitigen.
„Da Angreifer ihre Taktiken und Techniken ständig weiterentwickeln, müssen Unternehmen bei der Abwehr von Cyber-Bedrohungen wachsam und flexibel bleiben“, betonte MITRE.