Aggiornamenti recenti Dicembre 11th, 2024 9:00 AM
Mag 10, 2024 Marina Londei Approfondimenti, Attacchi, In evidenza, RSS, Vulnerabilità 0
A partire dallo scorso gennaio e fino a metà marzo, MITRE è stata vittima di un attacco che ha sfruttato due vulnerabilità zero-day di Ivanti Connect Secure e ha permesso agli attaccanti di accedere al NERVE, una rete di ricerca e sviluppo dell’organizzazione, ed esfiltrare informazioni.
L’organizzazione aveva reso noto l’attacco a fine aprile, spiegando di essere riuscita a segmentare la rete per evitare che gli attaccanti riuscissero a muoversi ulteriormente all’interno del network. Il gruppo, sfruttando il session hijacking e una serie di backdoor e web shell sofisticate, è riuscito a mantenere la persistenza e ottenere le credenziali di diversi account.
In un recente articolo MITRE ha dettagliato le attività malevole spiegando che la prima intrusione, avvenuta il 31 dicembre 2023, è iniziata con ROOTROT, una web shell che ha sfruttato le vulnerabilità Ivanti per accedere al NERVE senza autorizzazione, eludendo l’autenticazione multi-fattore.
In seguito, dopo aver profilato l’ambiente NERVE, gli attaccanti sono riusciti a loggarsi a diversi account tramite RDP, sfruttando le credenziali per accedere ai preferiti e ai file condivisi dagli utenti. “Questa attività di scoperta, culminata con l’esfiltrazione di documenti, mirava a mappare la topologia della rete e a identificare obiettivi di alto valore per un futuro sfruttamento” ha affermato Lex Crumpton, principal cybersecurity engineer dell’organizzazione.
Il gruppo ha poi manipolato le macchine virtuali e stabilito il controllo sull’infrastruttura sfruttando credenziali di amministratore compromesso. Dopo l’accesso alle macchine virtuali, gli attaccanti hanno eseguito una serie di payload come la backdoor BRICKSTORM e una web shell chiamata BEEFLUSH: l’obiettivo era ottenere accesso persistente alla rete e riuscire ad eseguire comandi per raccogliere informazioni e comunicare col server C2.
Nel corso dell’analisi i ricercatori di sicurezza del MITRE hanno individuato anche WIREFIRE e BUSHWALK, altre due web shell che servivano a nascondere le comunicazioni e facilitare quindi il furto di dati.
Da febbraio e fino a metà marzo il gruppo è riuscito a mantenere la persistenza sui sistemi e ha cercato di muoversi al di fuori della rete NERVE per ottenere nuove risorse, ma senza successo.
L’organizzazione è riuscita a eliminare ogni traccia del gruppo, ma ha sottolineato l’importanza di rafforzare la propria sicurezza per scongiurare attacchi futuri. “Sebbene i nostri sforzi iniziali di risposta abbiano contribuito a mitigare l’impatto immediato dell’attacco informatico, riconosciamo la necessità di una continua vigilanza e adattamento” ha affermato Crumpton.
Nov 20, 2024 0
Nov 13, 2024 0
Nov 12, 2024 0
Nov 07, 2024 0
Dic 11, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 06, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...Dic 09, 2024 0
Nel corso di questa settimana, il CERT-AGID ha individuato...