রুটরট ম্যালওয়্যার
সাইবার হামলাকারীরা সম্প্রতি MITRE-এর নেটওয়ার্ক এক্সপেরিমেন্টেশন, রিসার্চ এবং ভার্চুয়ালাইজেশন এনভায়রনমেন্ট (NERVE) নেটওয়ার্কগুলিকে টার্গেট করেছে৷ আক্রমণকারীরা একটি জাতি-রাষ্ট্র গোষ্ঠী বলে বিশ্বাস করা হয়, তারা 2024 সালের জানুয়ারিতে শুরু হওয়া ইভান্তি কানেক্ট সিকিউর অ্যাপ্লায়েন্সে দুটি শূন্য-দিনের দুর্বলতাকে কাজে লাগায়। ব্যাপক তদন্তের মাধ্যমে, বিশেষজ্ঞরা নিশ্চিত করেছেন যে আক্রমণকারীরা প্রাথমিক অ্যাক্সেস পেতে ROOTROT নামে একটি পার্ল-ভিত্তিক ওয়েব শেল মোতায়েন করেছিল। .
'/data/runtime/tmp/tt/setcookie.thtml.ttc'-এ অবস্থিত একটি বৈধ Connect Secure .ttc ফাইলের মধ্যে ROOTROT লুকানো হয়েছিল এবং এটি UNC5221 নামে পরিচিত চীনের সাথে সম্পর্কযুক্ত একটি সাইবার গুপ্তচরবৃত্তির ক্লাস্টারকে দায়ী করা হয়েছে৷ হ্যাকারদের এই একই গ্রুপটি বুশওয়াক, চেইনলাইন, ফ্রেমস্টিং এবং লাইটওয়ায়ার সহ অন্যান্য ওয়েব শেলগুলির সাথে যুক্ত হয়েছে৷
সংক্রমণ দুটি দুর্বলতার শোষণ অনুসরণ করে
আক্রমণটি CVE-2023-46805 এবং CVE-2024-21887 শোষণের সাথে জড়িত, হুমকি অভিনেতাদের প্রমাণীকরণ রোধ করতে এবং আপোষকৃত সিস্টেমে নির্বিচারে আদেশ কার্যকর করতে সক্ষম করে।
একবার প্রাথমিক অ্যাক্সেস প্রাপ্ত হয়ে গেলে, হুমকি অভিনেতারা একটি আপস করা অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট ব্যবহার করে ভিএমওয়্যার অবকাঠামোতে পার্শ্বীয়ভাবে সরে যেতে এবং অনুপ্রবেশ করতে শুরু করে। এই লঙ্ঘনটি অধ্যবসায় এবং শংসাপত্র সংগ্রহের জন্য পিছনের দরজা এবং ওয়েব শেল স্থাপনের সুবিধা দিয়েছে।
নার্ভ হল একটি অশ্রেণীবদ্ধ সহযোগী নেটওয়ার্ক যা স্টোরেজ, কম্পিউটিং এবং নেটওয়ার্কিং সংস্থান সরবরাহ করে। আক্রমণকারীদের সন্দেহ করা হচ্ছে যে তারা লঙ্ঘন করা নেটওয়ার্কগুলিতে পুনঃসূচনা করেছে, একটি ভার্চুয়াল প্রাইভেট নেটওয়ার্ক (ভিপিএন) ব্যবহার করেছে ইভান্তি কানেক্ট সিকিউর জিরো-ডে দুর্বলতা ব্যবহার করে এবং সেশন হাইজ্যাকিংয়ের মাধ্যমে মাল্টি-ফ্যাক্টর প্রমাণীকরণকে ফাঁকি দিয়েছে।
রুট্রোট ওয়েব শেল মোতায়েন করার পরে, হুমকি অভিনেতা স্নায়ু পরিবেশ বিশ্লেষণ করেন এবং মিত্রের ভিএমওয়্যার অবকাঠামোর উপর নিয়ন্ত্রণ অর্জন করে বেশ কয়েকটি ESXi হোস্টের সাথে যোগাযোগ শুরু করেন। তারপর তারা BRICKSTORM নামে একটি গোলং ব্যাকডোর এবং BEEFLUSH নামে একটি অপ্রকাশিত ওয়েব শেল প্রবর্তন করে। BRICKSTORM হল একটি গো-ভিত্তিক ব্যাকডোর যা VMware vCenter সার্ভারকে লক্ষ্য করার জন্য ডিজাইন করা হয়েছে। এটি একটি ওয়েব সার্ভার হিসাবে নিজেকে কনফিগার করতে, ফাইল সিস্টেম এবং ডিরেক্টরিগুলিকে ম্যানিপুলেট করতে, আপলোড এবং ডাউনলোড করার মতো ফাইল অপারেশন পরিচালনা করতে, শেল কমান্ড কার্যকর করতে এবং SOCKS রিলে করার সুবিধা দিতে সক্ষম।
এই পদক্ষেপগুলি অবিচ্ছিন্ন অ্যাক্সেস নিশ্চিত করে, প্রতিপক্ষকে নির্বিচারে আদেশ কার্যকর করতে এবং কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ করতে সক্ষম করে। প্রতিপক্ষ SSH ম্যানিপুলেশন নিযুক্ত করেছিল এবং আপোসকৃত সিস্টেমের উপর নিয়ন্ত্রণ বজায় রাখতে সন্দেহজনক স্ক্রিপ্ট চালায়।
রুটরোটের পাশাপাশি ব্যবহৃত অতিরিক্ত হুমকির সরঞ্জাম
আরও বিশ্লেষণে জানা গেছে যে হুমকি অভিনেতা 11 জানুয়ারী, 2024-এ দ্বৈত দুর্বলতার জনসাধারণের প্রকাশের একদিন পরে WIREFIRE (GIFTEDVISITOR নামেও পরিচিত) নামক আরেকটি ওয়েব শেল মোতায়েন করেছিলেন। এই স্থাপনার লক্ষ্য ছিল গোপন যোগাযোগ এবং ডেটা অপসারণ সক্ষম করা।
NERVE নেটওয়ার্ক থেকে তাদের কমান্ড-এন্ড-কন্ট্রোল অবকাঠামোতে ডেটা প্রেরণের জন্য BUSHWALK ওয়েব শেল ব্যবহার করার পাশাপাশি, 2024 সালের ফেব্রুয়ারি থেকে মার্চের মাঝামাঝি পর্যন্ত প্রতিপক্ষ পার্শ্বীয়ভাবে সরে যাওয়ার এবং নার্ভের মধ্যে অধ্যবসায় বজায় রাখার চেষ্টা করেছে বলে জানা গেছে।
তাদের কার্যকলাপের সময়, আক্রমণকারীরা MITRE-এর কর্পোরেট ডোমেইন কন্ট্রোলারগুলির মধ্যে একটিকে লক্ষ্য করে একটি পিং কমান্ড কার্যকর করেছিল এবং পরবর্তীভাবে MITER সিস্টেমে যাওয়ার চেষ্টা করেছিল, যদিও এই প্রচেষ্টাগুলি শেষ পর্যন্ত ব্যর্থ হয়েছিল।
