Κακόβουλο λογισμικό ROOTROT

Οι επιτιθέμενοι στον κυβερνοχώρο έχουν στοχεύσει πρόσφατα τα δίκτυα Networked Experimentation, Research και Virtualization Environment (NERVE) της MITRE. Οι εισβολείς που πιστεύεται ότι είναι μια ομάδα έθνους-κράτους, εκμεταλλεύτηκαν δύο τρωτά σημεία zero-day στις συσκευές Ivanti Connect Secure ξεκινώντας τον Ιανουάριο του 2024. Μέσω εκτεταμένης έρευνας, οι ειδικοί επιβεβαίωσαν ότι οι επιτιθέμενοι ανέπτυξαν ένα κέλυφος ιστού που βασίζεται σε Perl με το όνομα ROOTROT για να αποκτήσουν αρχική πρόσβαση .

Το ROOTROT ήταν κρυμμένο σε ένα νόμιμο αρχείο Connect Secure .ttc που βρίσκεται στη διεύθυνση '/data/runtime/tmp/tt/setcookie.thtml.ttc' και αποδίδεται σε ένα σύμπλεγμα κατασκοπείας στον κυβερνοχώρο με δεσμούς με την Κίνα, γνωστό ως UNC5221. Αυτή η ίδια ομάδα χάκερ έχει συσχετιστεί με άλλα κελύφη Ιστού, συμπεριλαμβανομένων των BUSHWALK, CHAINLINE, FRAMESTING και LIGHTWIRE.

Η μόλυνση ακολούθησε την εκμετάλλευση δύο τρωτών σημείων

Η επίθεση περιελάμβανε εκμετάλλευση των CVE-2023-46805 και CVE-2024-21887, επιτρέποντας στους παράγοντες απειλής να παρακάμψουν τον έλεγχο ταυτότητας και να εκτελέσουν αυθαίρετες εντολές στο παραβιασμένο σύστημα.

Μόλις αποκτήθηκε η αρχική πρόσβαση, οι παράγοντες απειλής προχώρησαν σε πλευρική κίνηση και διείσδυση στην υποδομή VMware χρησιμοποιώντας έναν παραβιασμένο λογαριασμό διαχειριστή. Αυτή η παραβίαση διευκόλυνε την ανάπτυξη κερκόπορτων και κελύφους ιστού για επιμονή και συλλογή διαπιστευτηρίων.

Το NERVE είναι ένα μη ταξινομημένο συνεργατικό δίκτυο που προσφέρει πόρους αποθήκευσης, υπολογιστών και δικτύωσης. Οι εισβολείς πιστεύεται ότι διεξήγαγαν αναγνώριση σε δίκτυα που είχαν παραβιαστεί, εκμεταλλεύτηκαν ένα από τα εικονικά ιδιωτικά δίκτυα (VPN) χρησιμοποιώντας τα τρωτά σημεία μηδενικής ημέρας του Ivanti Connect Secure και παρέκαμψαν τον έλεγχο ταυτότητας πολλαπλών παραγόντων μέσω παραβίασης περιόδων σύνδεσης.

Μετά την ανάπτυξη του κελύφους του ROOTROT Web, ο παράγοντας απειλής ανέλυσε το περιβάλλον NERVE και ξεκίνησε την επικοινωνία με αρκετούς κεντρικούς υπολογιστές ESXi, αποκτώντας τον έλεγχο της υποδομής VMware του MITRE. Στη συνέχεια παρουσίασαν μια κερκόπορτα Golang με το όνομα BRICKSTORM και ένα άγνωστο κέλυφος Ιστού με το όνομα BEEFLUSH. Το BRICKSTORM είναι ένα backdoor που βασίζεται στο Go, σχεδιασμένο για να στοχεύει διακομιστές VMware vCenter. Είναι σε θέση να διαμορφωθεί ως διακομιστής ιστού, να χειριστεί συστήματα αρχείων και καταλόγους, να εκτελέσει λειτουργίες αρχείων όπως φόρτωση και λήψη, εκτέλεση εντολών φλοιού και διευκόλυνση της αναμετάδοσης SOCKS.

Αυτά τα βήματα εξασφάλιζαν συνεχή πρόσβαση, επιτρέποντας στον αντίπαλο να εκτελεί αυθαίρετες εντολές και να επικοινωνεί με διακομιστές εντολών και ελέγχου. Ο αντίπαλος χρησιμοποίησε χειρισμό SSH και έτρεξε ύποπτα σενάρια για να διατηρήσει τον έλεγχο των παραβιασμένων συστημάτων.

Πρόσθετα απειλητικά εργαλεία που χρησιμοποιούνται παράλληλα με το ROOTROT

Περαιτέρω ανάλυση αποκάλυψε ότι ο παράγοντας απειλής ανέπτυξε ένα άλλο κέλυφος Ιστού που ονομάζεται WIREFIRE (επίσης γνωστό ως GIFTEDVISITOR) μια ημέρα μετά τη δημόσια αποκάλυψη των διπλών ευπάθειας στις 11 Ιανουαρίου 2024. Αυτή η ανάπτυξη είχε στόχο να επιτρέψει τη μυστική επικοινωνία και τη διείσδυση δεδομένων.

Εκτός από τη χρήση του κελύφους ιστού BUSHWALK για τη μετάδοση δεδομένων από το δίκτυο NERVE στην υποδομή Command-and-Control, ο αντίπαλος φέρεται να προσπάθησε να κινηθεί πλευρικά και να διατηρήσει την επιμονή εντός του NERVE από τον Φεβρουάριο έως τα μέσα Μαρτίου 2024.

Κατά τη διάρκεια των δραστηριοτήτων τους, οι εισβολείς εκτέλεσαν μια εντολή ping με στόχο έναν από τους εταιρικούς ελεγκτές τομέα της MITRE και προσπάθησαν να μετακινηθούν πλευρικά στα συστήματα MITER, αν και αυτές οι προσπάθειες ήταν τελικά ανεπιτυχείς.