Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Mag 10, 2024 Marina Londei Approfondimenti, Attacchi, In evidenza, RSS, Vulnerabilità 0
A partire dallo scorso gennaio e fino a metà marzo, MITRE è stata vittima di un attacco che ha sfruttato due vulnerabilità zero-day di Ivanti Connect Secure e ha permesso agli attaccanti di accedere al NERVE, una rete di ricerca e sviluppo dell’organizzazione, ed esfiltrare informazioni.
L’organizzazione aveva reso noto l’attacco a fine aprile, spiegando di essere riuscita a segmentare la rete per evitare che gli attaccanti riuscissero a muoversi ulteriormente all’interno del network. Il gruppo, sfruttando il session hijacking e una serie di backdoor e web shell sofisticate, è riuscito a mantenere la persistenza e ottenere le credenziali di diversi account.
In un recente articolo MITRE ha dettagliato le attività malevole spiegando che la prima intrusione, avvenuta il 31 dicembre 2023, è iniziata con ROOTROT, una web shell che ha sfruttato le vulnerabilità Ivanti per accedere al NERVE senza autorizzazione, eludendo l’autenticazione multi-fattore.
In seguito, dopo aver profilato l’ambiente NERVE, gli attaccanti sono riusciti a loggarsi a diversi account tramite RDP, sfruttando le credenziali per accedere ai preferiti e ai file condivisi dagli utenti. “Questa attività di scoperta, culminata con l’esfiltrazione di documenti, mirava a mappare la topologia della rete e a identificare obiettivi di alto valore per un futuro sfruttamento” ha affermato Lex Crumpton, principal cybersecurity engineer dell’organizzazione.
Il gruppo ha poi manipolato le macchine virtuali e stabilito il controllo sull’infrastruttura sfruttando credenziali di amministratore compromesso. Dopo l’accesso alle macchine virtuali, gli attaccanti hanno eseguito una serie di payload come la backdoor BRICKSTORM e una web shell chiamata BEEFLUSH: l’obiettivo era ottenere accesso persistente alla rete e riuscire ad eseguire comandi per raccogliere informazioni e comunicare col server C2.
Nel corso dell’analisi i ricercatori di sicurezza del MITRE hanno individuato anche WIREFIRE e BUSHWALK, altre due web shell che servivano a nascondere le comunicazioni e facilitare quindi il furto di dati.
Da febbraio e fino a metà marzo il gruppo è riuscito a mantenere la persistenza sui sistemi e ha cercato di muoversi al di fuori della rete NERVE per ottenere nuove risorse, ma senza successo.
L’organizzazione è riuscita a eliminare ogni traccia del gruppo, ma ha sottolineato l’importanza di rafforzare la propria sicurezza per scongiurare attacchi futuri. “Sebbene i nostri sforzi iniziali di risposta abbiano contribuito a mitigare l’impatto immediato dell’attacco informatico, riconosciamo la necessità di una continua vigilanza e adattamento” ha affermato Crumpton.
Nov 20, 2024 0
Nov 13, 2024 0
Nov 12, 2024 0
Nov 07, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 19, 2024 0
Nov 18, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...