MITRE 于 4 月 19 日透露,黑客已瞄准其网络实验、研究和虚拟化环境 (NERVE),这是一个用于研究、开发、和原型设计。
黑客通过利用 Ivanti Connect Secure VPN 设备 0Day 漏洞(编号为 CVE-2023-46805 和 CVE-2024-21887)获得了初步访问权限。
网络间谍组织(Mandiant 追踪为 UNC5221)利用 0day 漏洞进行了数周有针对性的攻击,直到其存在被曝光,Ivanti 发布了缓解措施。受害者名单中包括网络安全机构 CISA,该机构表示该事件可能影响多达 10 万人。
MITRE 最初将这次袭击归咎于国家支持的 APT 组织,但没有透露更多细节。在后续帖子中,该组织澄清说,在事件调查期间观察到的威胁检测指标 (IoC) 与 Mandiant 归因于 UNC5221 的指标重叠。
MITRE 最初表示攻击发生在 1 月初,但现在透露,第一个入侵证据可以追溯到 2023 年 12 月 31 日。当时黑客利用 Ivanti 0day 漏洞首次访问 NERVE 网络。
2024 年 1 月 4 日,黑客开始对环境进行分析,与 VMware vCenter 和 ESXi 主机进行交互。
MITRE 表示:“随后,他们通过 RDP 成功登录 NERVE 内的多个帐户,利用劫持的凭据访问用户书签和文件共享,以深入了解网络架构。”
第二天,攻击者开始操纵虚拟机并建立对受感染基础设施的控制。
在接下来的几天里,攻击者部署了一些恶意负载,包括名为 BrickStorm 的 vCenter 后门和 MITRE 名为 BeeFlush 的先前未知的 Web shell。
1 月 11 日,即 Ivanti 0day 漏洞曝光的第二天,攻击者部署了另一个名为 WireFire 的 Web shell,并开始准备窃取数据。数据泄露发生在 1 月 19 日,涉及另一个名为 BushWalk 的 Web shell。
MITRE 在 4 月份才发现此次入侵。2 月中旬至 3 月中旬期间,黑客在 NERVE 环境中持续存在并尝试横向移动,但未能转向其他资源。
MITRE 黑客攻击中使用的 Ivanti 产品漏洞自其存在被公开以来已被广泛利用,被利用来危害数百台设备,包括政府、电信、国防和技术组织所拥有的设备。适当的补丁在一月下旬才发布。
关于 Mitre
Mitre Corporation(简称为MITRE Corporation和MITRE)是一家美国非营利组织,它管理着联邦政府资助的研发中心(FFRDC),为航空、国防、医疗保健、国土安全和网络安全等领域的各个美国政府机构提供支持。
MITRE 成立于 1958 年,是一个军事智囊团,是从麻省理工学院林肯实验室的雷达和计算机研究部门分离出来的。
MITRE ATT&CK 框架于 2015 年推出,被《计算机周刊》描述为“免费、全球可访问的服务,为组织提供全面且最新的网络安全威胁信息”,被 TechTarget 描述为“全球知识”威胁活动、技术和模型的基础”。该框架已被美国网络安全和基础设施安全局以及联邦调查局使用。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/lrIaHnrBqtCWrSaByapzjg
暂无评论内容