ROOTROT Malware

Os cibercriminosos atacaram recentemente as redes do Ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) do MITRE. Os invasores, que se acredita ser um grupo estatal, exploraram duas vulnerabilidades de dia zero em dispositivos Ivanti Connect Secure a partir de janeiro de 2024. Por meio de extensa investigação, os especialistas confirmaram que os invasores implantaram um shell da web baseado em Perl chamado ROOTROT para obter acesso inicial. .

O ROOTROT foi escondido em um arquivo Connect Secure .ttc legítimo localizado em '/data/runtime/tmp/tt/setcookie.thtml.ttc' e é atribuído a um cluster de espionagem cibernética com ligações com a China conhecido como UNC5221. Este mesmo grupo de hackers tem sido associado a outros web shells, incluindo BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.

A Infecção Seguiu a Exploração de Duas Vulnerabilidades

O ataque envolveu a exploração de CVE-2023-46805 e CVE-2024-21887, permitindo que os agentes da ameaça contornassem a autenticação e executassem comandos arbitrários no sistema comprometido.

Assim que o acesso inicial foi obtido, os agentes da ameaça passaram a se mover lateralmente e a se infiltrar na infraestrutura VMware usando uma conta de administrador comprometida. Essa violação facilitou a implantação de backdoors e web shells para persistência e coleta de credenciais.

O NERVE é uma rede colaborativa não classificada que oferece recursos de armazenamento, computação e rede. Suspeita-se que os invasores realizaram reconhecimento em redes violadas, exploraram uma das redes privadas virtuais (VPNs) usando as vulnerabilidades de dia zero do Ivanti Connect Secure e contornaram a autenticação multifator por meio de sequestro de sessão.

Depois de implantar o ROOTROT Web Shell, o agente da ameaça analisou o ambiente NERVE e iniciou a comunicação com vários hosts ESXi, ganhando controle sobre a infraestrutura VMware do MITRE. Eles então introduziram um backdoor Golang chamado BRICKSTORM e um web shell não divulgado chamado BEEFLUSH. BRICKSTORM é um backdoor baseado em Go projetado para atingir servidores VMware vCenter. Ele é capaz de se configurar como um servidor web, manipular sistemas de arquivos e diretórios, realizar operações de arquivos como upload e download, executar comandos shell e facilitar a retransmissão SOCKS.

Essas etapas garantiram acesso contínuo, permitindo ao adversário executar comandos arbitrários e comunicar-se com servidores de comando e controle. O adversário empregou manipulação SSH e executou scripts suspeitos para manter o controle sobre os sistemas comprometidos.

Ferramentas de Ameaça Adicionais Usadas Junto com o ROOTROT

Uma análise mais aprofundada revelou que o autor da ameaça implantou outro web shell chamado WIREFIRE (também conhecido como GIFTEDVISITOR) um dia após a divulgação pública das vulnerabilidades duplas em 11 de janeiro de 2024. Esta implantação teve como objetivo permitir a comunicação secreta e a exfiltração de dados.

Além de usar o web shell BUSHWALK para transmitir dados da rede NERVE para sua infraestrutura de comando e controle, o adversário supostamente fez tentativas de se mover lateralmente e manter a persistência dentro da NERVE de fevereiro a meados de março de 2024.

Durante suas atividades, os invasores executaram um comando ping visando um dos controladores de domínio corporativo do MITRE e tentaram mover-se lateralmente para os sistemas MITRE, embora essas tentativas não tenham tido êxito.