ROOTROT pahavara

Küberründajad on hiljuti sihikule võtnud MITRE võrgukatse-, uurimis- ja virtualiseerimiskeskkonna (NERVE) võrkude. Ründajad, keda arvati olevat rahvusriiklik rühmitus, kasutasid alates 2024. aasta jaanuarist ära kaht Ivanti Connect Secure'i seadmete nullpäeva turvaauku. Ulatusliku uurimise käigus on eksperdid kinnitanud, et ründajad kasutasid esialgse juurdepääsu saamiseks Perli-põhise veebikesta nimega ROOTROT .

ROOTROT peideti seaduslikus Connect Secure .ttc-failis, mis asub aadressil '/data/runtime/tmp/tt/setcookie.thtml.ttc' ja see on omistatud Hiinaga seotud küberspionaažiklastrile, mida tuntakse nime all UNC5221. Seda sama häkkerite gruppi on seostatud teiste veebikestadega, sealhulgas BUSHWALK, CHAINLINE, FRAMESTING ja LIGHTWIRE.

Nakatumine järgnes kahe haavatavuse ärakasutamisele

Rünnak hõlmas CVE-2023-46805 ja CVE-2024-21887 ärakasutamist, võimaldades ohus osalejatel autentimisest mööda hiilida ja rikutud süsteemis suvalisi käske täita.

Pärast esialgse juurdepääsu saamist liikusid ohus osalejad külgsuunas ja imbusid VMware infrastruktuuri, kasutades ohustatud administraatorikontot. See rikkumine hõlbustas tagauste ja veebikestade kasutuselevõttu püsivuse ja mandaatide kogumiseks.

NERVE on klassifitseerimata koostöövõrk, mis pakub salvestus-, andmetöötlus- ja võrguressursse. Ründajad kahtlustatakse, et nad tegid rikutud võrkudes luuret, kasutasid Ivanti Connect Secure nullpäeva turvaauku kasutades ära üht virtuaalset privaatvõrku (VPN) ja hoidsid seansikaaperdamise kaudu kõrvale mitmefaktorilisest autentimisest.

Pärast ROOTROTi veebikesta juurutamist analüüsis ohutegija NERVE keskkonda ja alustas suhtlust mitme ESXi hostiga, saades kontrolli MITRE VMware infrastruktuuri üle. Seejärel tutvustasid nad Golangi tagaust nimega BRICKSTORM ja avalikustamata veebikesta nimega BEEFLUSH. BRICKSTORM on Go-põhine tagauks, mis on loodud sihtima VMware vCenter serverid. See on võimeline konfigureerima end veebiserverina, manipuleerima failisüsteemide ja kataloogidega, läbi viima failitoiminguid, nagu üles- ja allalaadimine, täitma shellikäske ja hõlbustama SOCKS-i edastamist.

Need sammud tagasid pideva juurdepääsu, võimaldades vastasel täita suvalisi käske ja suhelda käsu- ja juhtimisserveritega. Vastane kasutas SSH-ga manipuleerimist ja käivitas kahtlaseid skripte, et säilitada kontroll ohustatud süsteemide üle.

ROOTROTi kõrval kasutatakse täiendavaid ähvardamistööriistu

Täiendav analüüs näitas, et ohutegureid kasutas päev pärast kahe haavatavuse avalikustamist 11. jaanuaril 2024 teise veebikesta nimega WIREFIRE (tuntud ka kui GIFTEDVISITOR). Selle juurutamise eesmärk oli võimaldada varjatud suhtlust ja andmete väljafiltreerimist.

Lisaks BUSHWALK-i veebikesta kasutamisele andmete edastamiseks NERVE võrgust nende käsu- ja juhtimise infrastruktuuri, üritas vastane väidetavalt liikuda külgsuunas ja säilitada NERVE-s 2024. aasta veebruarist märtsi keskpaigani.

Oma tegevuse ajal täitsid ründajad ping-käsku, mis oli suunatud ühele MITRE ettevõtte domeenikontrollerile, ja püüdsid liikuda külgsuunas MITER-süsteemidesse, kuigi need katsed olid lõpuks ebaõnnestunud.