MITRE compartió el cronograma de la infracción más reciente y confirmó que comenzó el 31 de diciembre de 2023, antes de lo que se pensaba.
Ese día, los atacantes explotaron dos vulnerabilidades de día cero, CVE-2023–46805 y CVE-2024–21887, que se hicieron públicas a principios de enero cuando los parches aún no estaban disponibles, para explotar Ivanti Connect externo. Implementé un shell web en mi Dispositivo VPN seguro.
Herramientas y técnicas utilizadas para comprometer MITRE
Los atacantes aprovecharon una vulnerabilidad de día cero en Ivanti para obtener acceso a la red de investigación y creación de prototipos de la organización, desde donde realizaron reconocimientos adicionales y se infiltraron en el entorno de VMware para extraer datos.
Utilizaron credenciales de cuentas de administrador comprometidas, shells web y puertas traseras para obtener acceso permanente, dijeron Rex Crampton, el principal ingeniero de ciberseguridad de la organización, y Charles Clancy, CTO. Se mantuvo y se comunicó con la infraestructura de comando y control.
Algunos de los webshells utilizados han sido documentados previamente por Volexity y Mandiant y se cree que son utilizados por actores de amenazas chinos.
“UNC5221 es un actor con presuntos vínculos con China que Mandiant rastrea como el único grupo que explotó CVE-2023-46805 y CVE-2024-21887 durante el período de divulgación previa que comienza a principios de diciembre de 2023”, señalaron los analistas de Mandiant a principios de abril.
(MITRE no dijo que UNC5221 estuviera detrás del ataque, solo que “los indicadores observados durante el incidente se superponen con los descritos en el informe de inteligencia de amenazas de Mandiant sobre UNC5221”).
Uno de los web shells utilizados por los atacantes (‘BEEFLUSH’) ha sido descubierto por primera vez.
Los datos comprometidos comenzaron a quedar expuestos el 19 de enero y los atacantes intentaron sin éxito migrarlos a otros recursos fuera del entorno de VMware durante febrero y marzo.
MITRE ha prometido publicar detalles adicionales sobre las técnicas de ataque persistente del atacante la próxima semana, así como proporcionar herramientas de detección.
Fuente: https://www.helpnetsecurity.com/2024/05/08/mitre-breach/
