Mag 10, 2024 Marina Londei Approfondimenti, Attacchi, In evidenza, RSS, Vulnerabilità 0

A partire dallo scorso gennaio e fino a metà marzo, MITRE è stata vittima di un attacco che ha sfruttato due vulnerabilità zero-day di Ivanti Connect Secure e ha permesso agli attaccanti di accedere al NERVE, una rete di ricerca e sviluppo dell’organizzazione, ed esfiltrare informazioni.

L’organizzazione aveva reso noto l’attacco a fine aprile, spiegando di essere riuscita a segmentare la rete per evitare che gli attaccanti riuscissero a muoversi ulteriormente all’interno del network. Il gruppo, sfruttando il session hijacking e una serie di backdoor e web shell sofisticate, è riuscito a mantenere la persistenza e ottenere le credenziali di diversi account.

In un recente articolo MITRE ha dettagliato le attività malevole spiegando che la prima intrusione, avvenuta il 31 dicembre 2023, è iniziata con ROOTROT, una web shell che ha sfruttato le vulnerabilità Ivanti per accedere al NERVE senza autorizzazione, eludendo l’autenticazione multi-fattore.

In seguito, dopo aver profilato l’ambiente NERVE, gli attaccanti sono riusciti a loggarsi a diversi account tramite RDP, sfruttando le credenziali per accedere ai preferiti e ai file condivisi dagli utenti. “Questa attività di scoperta, culminata con l’esfiltrazione di documenti, mirava a mappare la topologia della rete e a identificare obiettivi di alto valore per un futuro sfruttamento” ha affermato Lex Crumpton, principal cybersecurity engineer dell’organizzazione.

Pixabay

Il gruppo ha poi manipolato le macchine virtuali e stabilito il controllo sull’infrastruttura sfruttando credenziali di amministratore compromesso. Dopo l’accesso alle macchine virtuali, gli attaccanti hanno eseguito una serie di payload come la backdoor BRICKSTORM e una web shell chiamata BEEFLUSH: l’obiettivo era ottenere accesso persistente alla rete e riuscire ad eseguire comandi per raccogliere informazioni e comunicare col server C2.

Nel corso dell’analisi i ricercatori di sicurezza del MITRE hanno individuato anche WIREFIRE e BUSHWALK, altre due web shell che servivano a nascondere le comunicazioni e facilitare quindi il furto di dati.

Da febbraio e fino a metà marzo il gruppo è riuscito a mantenere la persistenza sui sistemi e ha cercato di muoversi al di fuori della rete NERVE per ottenere nuove risorse, ma senza successo.

L’organizzazione è riuscita a eliminare ogni traccia del gruppo, ma ha sottolineato l’importanza di rafforzare la propria sicurezza per scongiurare attacchi futuri. “Sebbene i nostri sforzi iniziali di risposta abbiano contribuito a mitigare l’impatto immediato dell’attacco informatico, riconosciamo la necessità di una continua vigilanza e adattamento” ha affermato Crumpton.