Корпорация MITRE сообщила, что стала целью кибератаки со стороны национального государства, в ходе которой были использованы две уязвимости нулевого дня в защищенных устройствах Ivanti Connect начиная с января 2024 года.
Вторжение привело к компрометации ее сетевой среды экспериментов, исследований и виртуализации (NERVE), несекретной сети исследований и прототипирования.
Неизвестный злоумышленник "провел разведку наших сетей, воспользовался одной из наших виртуальных частных сетей (VPN) с помощью двух уязвимостей Ivanti Connect Secure нулевого дня и обошел нашу многофакторную аутентификацию, используя перехват сеанса", - сказал на прошлой неделе Лекс Крамптон, исследователь оборонных киберопераций в некоммерческой организации.
Атака повлекла за собой использование CVE-2023-46805 (оценка CVSS: 8.2) и CVE-2024-21887 (оценка CVSS: 9.1), которые могли быть использованы злоумышленниками для обхода аутентификации и запуска произвольных команд в зараженной системе.
Получив первоначальный доступ, злоумышленники переместились вбок и взломали инфраструктуру VMware, используя скомпрометированную учетную запись администратора, что в конечном итоге проложило путь к развертыванию бэкдоров и веб-оболочек для обеспечения сохраняемости и сбора учетных данных.
"NERVE - это несекретная сеть совместной работы, которая предоставляет ресурсы хранения, вычисления и сетевые ресурсы", - сказал МИТРЕ. "Основываясь на нашем расследовании на сегодняшний день, нет никаких указаний на то, что основная корпоративная сеть MITRE или системы партнеров были затронуты этим инцидентом".
Организация заявила, что с тех пор предприняла шаги по локализации инцидента и предприняла усилия по реагированию и восстановлению, а также судебно-медицинский анализ для определения степени компрометации.
Первоначальное использование двух уязвимостей было приписано кластеру, отслеживаемому компанией по кибербезопасности Volexity под именем UTA0178, субъектом национального государства, вероятно, связанным с Китаем. С тех пор, по словам Мандианта, несколько других хакерских групп, связанных с Китаем и nexus, присоединились к победе в эксплуатации.
"Ни одна организация не застрахована от кибератак такого типа, даже та, которая стремится поддерживать максимально возможную кибербезопасность", - сказал Джейсон Провидейкс, президент и исполнительный директор MITRE.
"Мы своевременно раскрываем этот инцидент из-за нашей приверженности действовать в общественных интересах и отстаивать лучшие практики, которые повышают безопасность предприятия, а также необходимые меры для улучшения текущего состояния киберзащиты отрасли".
Вторжение привело к компрометации ее сетевой среды экспериментов, исследований и виртуализации (NERVE), несекретной сети исследований и прототипирования.
Неизвестный злоумышленник "провел разведку наших сетей, воспользовался одной из наших виртуальных частных сетей (VPN) с помощью двух уязвимостей Ivanti Connect Secure нулевого дня и обошел нашу многофакторную аутентификацию, используя перехват сеанса", - сказал на прошлой неделе Лекс Крамптон, исследователь оборонных киберопераций в некоммерческой организации.
Атака повлекла за собой использование CVE-2023-46805 (оценка CVSS: 8.2) и CVE-2024-21887 (оценка CVSS: 9.1), которые могли быть использованы злоумышленниками для обхода аутентификации и запуска произвольных команд в зараженной системе.
Получив первоначальный доступ, злоумышленники переместились вбок и взломали инфраструктуру VMware, используя скомпрометированную учетную запись администратора, что в конечном итоге проложило путь к развертыванию бэкдоров и веб-оболочек для обеспечения сохраняемости и сбора учетных данных.
"NERVE - это несекретная сеть совместной работы, которая предоставляет ресурсы хранения, вычисления и сетевые ресурсы", - сказал МИТРЕ. "Основываясь на нашем расследовании на сегодняшний день, нет никаких указаний на то, что основная корпоративная сеть MITRE или системы партнеров были затронуты этим инцидентом".
Организация заявила, что с тех пор предприняла шаги по локализации инцидента и предприняла усилия по реагированию и восстановлению, а также судебно-медицинский анализ для определения степени компрометации.
Первоначальное использование двух уязвимостей было приписано кластеру, отслеживаемому компанией по кибербезопасности Volexity под именем UTA0178, субъектом национального государства, вероятно, связанным с Китаем. С тех пор, по словам Мандианта, несколько других хакерских групп, связанных с Китаем и nexus, присоединились к победе в эксплуатации.
"Ни одна организация не застрахована от кибератак такого типа, даже та, которая стремится поддерживать максимально возможную кибербезопасность", - сказал Джейсон Провидейкс, президент и исполнительный директор MITRE.
"Мы своевременно раскрываем этот инцидент из-за нашей приверженности действовать в общественных интересах и отстаивать лучшие практики, которые повышают безопасность предприятия, а также необходимые меры для улучшения текущего состояния киберзащиты отрасли".
