详细内容或原文请订阅后点击阅览
MITRE 公司遭受网络攻击:中国黑客利用 Ivanti Connect Secure 漏洞进行渗透
该公司描述了来自中国的网络犯罪分子如何引入幽灵虚拟机。
来源:安全实验室新闻频道MITRE 公司遭受网络攻击:中国黑客利用 Ivanti Connect Secure 漏洞进行渗透
该公司描述了来自中国的网络犯罪分子如何引入幽灵虚拟机。
MITRE Corporation 报告其非营利组织于 2023 年 12 月下旬遭受网络攻击。攻击者利用 Ivanti Connect Secure (ICS) 中的零日漏洞创建虚假的 VMware 虚拟机。
报告 ICS VMware攻击者获得了对 vCenter 服务器的访问权限,并在 VMware 环境中创建了自己的虚拟机。黑客将 JSP Web shell (BEEFLUSH) 注入 vCenter Server Tomcat 以运行基于 Python 的隧道工具,从而允许网络犯罪分子在精心设计的虚拟机和 ESXi 虚拟机管理程序基础架构之间建立 SSH 连接。
攻击目标和方法
攻击的目标是向集中管理界面 (vCenter) 隐藏其操作并保持持续访问,从而最大限度地降低检测风险。此次攻击的细节早在 4 月份就已浮出水面,当时 MITRE 确定中国组织 UNC5221 是此次攻击的幕后黑手,该组织利用两个 ICS 漏洞(CVE-2023-46805 和 CVE-2024-21887)渗透到 NERVE 研究环境中。
斜角 已安装 神经 CVE-2023-46805 和 CVE-2024-21887在绕过多重身份验证并获得初始访问权限后,攻击者使用受感染的管理员帐户通过网络进行攻击,以获取对 VMware 基础架构的控制。黑客部署了多个后门和 Web shell 来维护访问和窃取凭据。其中包括代号为 BRICKSTORM 的 Go 后门,以及 BEEFLUSH 和 BUSHWALK Web shell,它们允许执行任意命令并与命令和控制服务器进行通信。