البرامج الضارة ROOTROT
استهدف المهاجمون السيبرانيون مؤخرًا شبكات التجارب الشبكية والأبحاث وبيئة المحاكاة الافتراضية (NERVE) التابعة لـ MITRE. استغل المهاجمون، الذين يُعتقد أنهم مجموعة دولة قومية، اثنتين من نقاط الضعف في أجهزة Ivanti Connect Secure بدءًا من يناير 2024. ومن خلال تحقيقات مكثفة، أكد الخبراء أن المهاجمين نشروا قوقعة ويب قائمة على لغة Perl تسمى ROOTROT للحصول على وصول أولي. .
تم إخفاء ROOTROT ضمن ملف Connect Secure .ttc شرعي موجود في '/data/runtime/tmp/tt/setcookie.thtml.ttc' ويُنسب إلى مجموعة تجسس إلكتروني لها علاقات بالصين تُعرف باسم UNC5221. وقد ارتبطت هذه المجموعة نفسها من المتسللين بشبكات ويب أخرى، بما في ذلك BushWALK وCHAINLINE وFRAMESTING وLIGHTWIRE.
وجاءت العدوى بعد استغلال اثنتين من نقاط الضعف
تضمن الهجوم استغلال CVE-2023-46805 وCVE-2024-21887، مما مكّن الجهات الفاعلة في مجال التهديد من التحايل على المصادقة وتنفيذ أوامر عشوائية على النظام المخترق.
بمجرد الحصول على الوصول الأولي، شرعت الجهات الفاعلة في التهديد في التحرك أفقيًا والتسلل إلى البنية التحتية لبرنامج VMware باستخدام حساب مسؤول مخترق. سهّل هذا الاختراق نشر الأبواب الخلفية وقذائف الويب من أجل الاستمرارية وجمع بيانات الاعتماد.
NERVE عبارة عن شبكة تعاونية غير مصنفة توفر موارد التخزين والحوسبة والشبكات. يُشتبه في أن المهاجمين أجروا استطلاعًا على الشبكات المخترقة، واستغلوا إحدى الشبكات الافتراضية الخاصة (VPN) باستخدام ثغرات يوم الصفر في Ivanti Connect Secure وتحايلوا على المصادقة متعددة العوامل من خلال اختطاف الجلسة.
بعد نشر هيكل ROOTROT Web shell، قام ممثل التهديد بتحليل بيئة NERVE وبدأ الاتصال مع العديد من مضيفي ESXi، وتمكن من السيطرة على البنية التحتية لبرنامج VMware الخاص بـ MITRE. ثم قاموا بتقديم باب خلفي لـ Golang يسمى BRICKSTORM وقشرة ويب غير معلنة تسمى BEEFLUSH. BRICKSTORM عبارة عن باب خلفي قائم على Go مصمم لاستهداف خوادم VMware vCenter. إنه قادر على تكوين نفسه كخادم ويب، ومعالجة أنظمة الملفات والأدلة، وإجراء عمليات الملفات مثل التحميل والتنزيل، وتنفيذ أوامر shell، وتسهيل ترحيل SOCKS.
ضمنت هذه الخطوات الوصول المستمر، مما مكن الخصم من تنفيذ أوامر عشوائية والتواصل مع خوادم القيادة والسيطرة. استخدم الخصم التلاعب بـ SSH وقام بتشغيل نصوص برمجية مشبوهة للاحتفاظ بالسيطرة على الأنظمة المخترقة.
أدوات التهديد الإضافية المستخدمة إلى جانب ROOTROT
كشف المزيد من التحليل أن جهة التهديد قامت بنشر غلاف ويب آخر يسمى WIREFIRE (المعروف أيضًا باسم GIFTEDVISITOR) بعد يوم من الكشف العلني عن الثغرات الأمنية المزدوجة في 11 يناير 2024. وكان هذا النشر يهدف إلى تمكين الاتصالات السرية وتسريب البيانات.
بالإضافة إلى استخدام غلاف الويب BUSHWALK لنقل البيانات من شبكة NERVE إلى البنية التحتية للقيادة والتحكم الخاصة بهم، ورد أن الخصم قام بمحاولات للتحرك أفقيًا والحفاظ على الثبات داخل NERVE من فبراير إلى منتصف مارس 2024.
أثناء أنشطتهم، نفذ المهاجمون أمرًا ping يستهدف إحدى وحدات التحكم بالمجال الخاصة بشركة MITRE وحاولوا الانتقال أفقيًا إلى أنظمة MITRE، على الرغم من أن هذه المحاولات باءت بالفشل في النهاية.
