針對Ivanti零時差漏洞攻擊事故,資安組織MITRE揭露駭客濫用VMware虛擬化平臺的細節
支付動態 · 2024-05-24

上個月資安組織MITRE證實今年1月遭遇Ivanti零時差漏洞攻擊,當中提及駭客操弄受害網路環境的VMware虛擬化平臺來埋藏行蹤,現在他們將攻擊手法的細節公諸於世,讓IT人員能夠察覺、防範這類新興威脅

資安機構MITRE先後於4月19日、5月3日,針對他們1月遭遇Ivanti零時差漏洞攻擊的事故,公布駭客攻擊的手法、事件發生的過程,以及過程中使用的後門程式、Shell Code等作案工具。當時他們曾透露攻擊者入侵該組織用於研究、開發、原型設計的協作網路環境「網路實驗、研究及虛擬化環境(NERVE)」時,藉由VMware虛擬化平臺來維持在該環境當中活動,現在該機構進一步說明相關細節。

該資安機構指出,對方透過Ivanti零時差漏洞成功入侵NERVE後,先是對VMware vCenter植入後門程式BrickStorm,以及名為BeeFlush的Web Shell,然後透過另外2個稱為WireFire、BushWalk的Web Shell來竊取資料。

但究竟對方如何隱匿相關攻擊行蹤?MITRE指出,駭客在企圖濫用虛擬化環境之前,已得到ESXi基礎架構的管理權限。

駭客藉由系統服務帳號,產生用於攻擊行動的虛擬機器(VM),這麼做的目的,就是讓管理者無法從vCenter管理主控臺察覺這些VM的存在。

接著,他們在今年1月5日,操縱這些VM並使用外流的管理者帳號,對於整個基礎設施進行控制。對方也在vCenter伺服器的Tomcat元件中,植入以JSP打造稱為BeeFlush的Web Shell,目的是執行以Python為基礎的隧道工具,使得駭客建立的VM,能與ESXi的管理程式能夠進行SSH連線。

事隔2日,這些駭客存取VM並部署惡意酬載BrickStorm,值得留意的是,他們也濫用虛擬化平臺的預設帳號Vpxuser,呼叫7個API,目的是進行偵察,盤點已掛載及未掛載的磁碟。

而對於駭客所使用的VM,還具備另一項特徵,那就是這些VM具備兩組網路介面,其中一種是用於連接網際網路,以便接收C2通訊;另一種則是與內部環境的子網路進行連線。

該組織表示,這代表IT人員透過vCenter集中管理主控臺來管理VM,很有可能難以察覺攻擊者的行為,對此,MITRE提供相關的檢測方式,並公布兩款能掃描這類威脅的指令碼工具,它們分別是:由MITRE打造的Invoke-HiddenVMQuery,以及資安業者CrowdStrike開發的VirtualGHOST。

Popular articles
GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean
Marketing
SBC Summit Canada to Make Player Safety a Key Pillar of 2026 Agenda
Marketing
GAT Expo CDMX 2026 Kicks Off Today in Mexico with a Sold-Out Opening Reception at Big Bola Casino Santa Fe
Marketing
Online gambling, crypto pose ongoing money laundering risks in Philippines, analyst says
Southeast Asia
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
Brazil Proposes Raising Gambling Tax Rate to 24%, With Revenue Allocated to Social Security and Healthcare
Regulation
Institutional Academy that exceeded expectations marked the opening of GAT CDMX
Online Game
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
Global Game Connect (GGC) 2027 Officially Opens Sponsorship & Exhibition Opportunities in Sri Lanka!
HUIDU Focus
Manila delivers: Highlights from SiGMA Asia 2026 
Southeast Asia
British gambling levy rates confirmed for each vertical
Regulation
PropellerAds Shared a New iGaming Case Study: 97,674 Installs and 12,701 Deposits in 3 Months
Marketing
Vietnam's tightening online gaming policy creates new market opportunities
Southeast Asia
Vietnam’s Controlled Gaming Shift Gains Ground, But Domestic Demand Still Lags
Southeast Asia
Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push
Regulation
Home
Game
Cooperation
Find
My