美國非營利機構MITRE公司公布近期遭網路攻擊的更多詳細資訊。根據調查,最早的入侵證據可追溯到2023年12月31日。
上個月曝光的該起攻擊,透過利用Ivanti Connect Secure的兩個零日漏洞CVE-2023-46805及CVE-2024-21887,鎖定MITRE的實驗與研究網路環境NERVE(Networked Experimentation, Research, and Virtualization Environment)。
相關文章:Ivanti零日漏洞延燒! MITRE遭駭客成功入侵
MITRE表示,駭客利用遭竊取的管理員帳號,在VMware架構中操控研究網路,隨後部署一系列後門程式與網路惡意程式,以維持存在並收集憑證。"
雖然MITRE先前曾透露,駭客從2024年1月開始對其網路進行偵查,但最新的技術深入分析將最早的入侵跡象追溯至2023年12月底,當時駭客植入一種名為ROOTROT的Perl腳本程式,獲取初步存取權。
根據Google旗下Mandiant的說法, ROOTROT內嵌於合法的Connect Secure .ttc檔,該檔案存在於
"/data/runtime/tmp/tt/setcookie.thtml.ttc"。ROOTROT是由中國網路間諜集團UNC5221所設計,該集團也與BUSHWALK、CHAINLINE、FRAMESTING及LIGHTWIRE等其他網路惡意腳本程式有關聯。
部署惡意腳本之後,該威脅團體探勘NERVE環境並與多個ESXi主機建立通訊,最終控制MITRE的VMware基礎架構,並植入一種稱為BRICKSTORM的Golang後門程式,以及一個先前未公開的網路惡意腳本BEEFLUSH。
MITR解釋,這些行動讓駭客取得持續存取權限,能夠執行任意指令並與控制伺服器通訊。駭客利用SSH操作與執行可疑指令等手法,維持對受侵系統的控制。"
進一步分析顯示,在這雙漏洞於2024年1月11日公開揭露的隔日,該威脅團體也部署了另一種稱為WIREFIRE(又名GIFTEDVISITOR)的惡意腳本,以建立隱密通訊並外洩資料。
除了於2024年1月19日利用BUSHWALK腳本將NERVE網路內的資料傳送給控制伺服器之外,駭客也企圖進行橫向移動,並在2月到3月中旬期間維持在NERVE內的存在。
MITR表示,駭客曾嘗試利用MITRE公司的其中一部網域控制站,橫向滲透MITRE的其他系統,但未能成功。
相關文章:Ivanti 零時差攻擊在全球激增! 尚未有修補程式
本文轉載自thehackernews。