4月19日資安研究機構MITRE證實遭駭,對方透過一月份Ivanti公布的Connect Secure零時差漏洞,入侵他們用於研究、開發、原型設計的協作網路環境「網路實驗、研究及虛擬化環境(NERVE)」,最近該機構針對事故發生的過程,公布進一步的調查結果,並指出攻擊者在作案過程中,運用多達5個後門程式及Web Shell。
5月4日MITRE指出,駭客先是透過Ivanti零時差漏洞繞過身分驗證流程,入侵NERVE得逞,接著藉由一個遭他們奪走的管理員帳號存取VMware虛擬化基礎架構,然後部署後門程式及Web Shell,以便持續存取NERVE並挖掘帳密資料。
根據調查結果,這起攻擊行動最早可追溯到去年12月31日,對方在Ivanti設備植入了RootRot的Web Shell,以便將這類設備作為存取NERVE內部系統的跳板。此工具是中國駭客組織UNC5221製作,但MITRE並未明確指出這起事故是他們所為。
到了1月4日,攻擊者對NERVE進行偵察,透過Ivanti設備與vCenter進行互動,並與ESXi主機建立連線,接著,對方利用遠端桌面連線(RDP)成功存取數個NERVE帳號,並藉由竊得的帳密存取使用者的瀏覽器書籤,並進行檔案共享,從而深入了解網路架構。
次日(5日)駭客操縱虛擬機器(VM)並試圖控制基礎設施。對方利用竊得的管理者帳密資料,透過NERVE內部IP位址通過身分驗證,進行橫向移動。
事隔兩天(7日),這些駭客再度存取虛擬機器,並部署另外兩個惡意酬載,它們分別是後門程式BrickStorm,以及名為BeeFlush的Web Shell,這些工具使得攻擊者建立C2通訊,並能執行任意命令。
攻擊者利用名為vpxuser的預設帳號,以及vSphere的管理API,進行7次API呼叫並取得已掛載及未掛載的磁碟名單,然後切換成管理員帳號建立3個新的虛擬機器,用來部署前述的BrickStorm、BeeFlush。
但值得留意的是,這起攻擊行動裡,駭客不光利用Ivanti的零時差漏洞,還濫用Connect Secure特定元件外傳竊得資料。
根據系統記憶體的分析,MITRE發現11日對方策畫將竊得資料傳出,而暫存這些檔案的地方,竟是Ivanti裝置上的說明文件網站。此外,駭客上傳名為WireFire(或稱GiftedVisitor)的Web Shell,這是以Python打造的指令碼,可接收、執行命令。
事隔一週,19日對方利用NERVE的內部IP位址,對一個稱做BushWalk的Web Shell發出網路連線的請求。之後,駭客從2月中旬至3月中旬,持續於NERVE活動,並進行橫向移動,試圖存取其他資源,但沒有成功。
熱門新聞
2024-05-19
2024-05-20
2024-05-18
2024-05-17
2024-05-17
