سوء استفاده هکرها از ماشین های مجازی (VMs) Rogue در حملات سایبری علیه شرکت MITER

در اواخر دسامبر 2023، هکرها از آسیب پذیری Zero-day در Ivanti Connect Secure (ICS) برای حمله سایبری به شرکت MITER سوء استفاده کردند.  آنها ماشین های مجازی (VM)  rogue را در محیط VMware MITRE با استفاده از دسترسی به سرور vCenter ایجاد کردند.

هکرها یک JSP web shell به نام BEEFLUSH را بر روی سرور  Tomcat در vCenter مستقر کردند، و با استفاده از ابزار tunneling مبتنی بر پایتون، ارتباط ssh بین ماشین های مجازی rogue  و زیرساخت ESXi hypervisor را تسهیل کردند.

 به نظر می رسد این حمله توسط گروه هکری چینی nexus UNC5221 انجام شده باشد، بدین صورت که با بهره برداری از اکسپلویت آسیب پذیری های ICS (CVE-2023-46805 و CVE-2024-21887) احراز هویت ۲ مرحله ای را بایپس کرده و دسترسی اولیه به شبکه را به دست آوردند تا از یک حساب کاربری در معرض خطر برای کنترل زیرساخت VMware سوء استفاده کنند.

آنها backdoor و web shellsهای مختلفی از جمله BRICKSTORM، BEEFLUSH، و BUSHWALK را برای حفظ دسترسی پایدار و سرقت اطلاعات مستقر کردند.

شرکت MITER خاطرنشان کرد که rogue VMs خارج از بستر standard management processes فعالیت می کنند، به همین دلیل شناسایی و مدیریت آنها با ابزارهای معمولی دشوار است.  این شرکت فعال کردن secure boot را برای جلوگیری از unauthorized modifications توصیه می کند و اسکریپت های PowerShell (Invoke-HiddenVMQuery و VirtualGHOST) را برای شناسایی و کاهش این تهدیدات ارائه کرده است.