بدافزار ROOTROT
مهاجمان سایبری اخیراً شبکههای آزمایش شبکهای، تحقیقات و محیط مجازیسازی (NERVE) MITRE را هدف قرار دادهاند. مهاجمانی که گمان میرود یک گروه دولت-ملت باشند، از دو آسیبپذیری روز صفر در دستگاههای Ivanti Connect Secure از ژانویه 2024 سوء استفاده کردند. با تحقیقات گسترده، کارشناسان تأیید کردهاند که مهاجمان یک پوسته وب مبتنی بر Perl به نام ROOTROT را برای دستیابی به دسترسی اولیه مستقر کردهاند. .
ROOTROT در یک فایل قانونی Connect Secure .ttc واقع در '/data/runtime/tmp/tt/setcookie.thtml.ttc' پنهان شده بود و به یک خوشه جاسوسی سایبری مرتبط با چین به نام UNC5221 نسبت داده می شود. همین گروه از هکرها با پوسته های وب دیگر از جمله BUSHWALK، CHAINLINE، FRAMESTING و LIGHTWIRE مرتبط بوده اند.
این عفونت به دنبال بهره برداری از دو آسیب پذیری بود
این حمله شامل بهره برداری از CVE-2023-46805 و CVE-2024-21887 بود که به عوامل تهدید امکان می داد تا احراز هویت را دور بزنند و دستورات دلخواه را بر روی سیستم در معرض خطر اجرا کنند.
هنگامی که دسترسی اولیه به دست آمد، عوامل تهدید به حرکت جانبی و نفوذ به زیرساخت VMware با استفاده از یک حساب کاربری در معرض خطر ادامه دادند. این نقض، استقرار درهای پشتی و پوسته های وب را برای تداوم و برداشت اعتبار تسهیل کرد.
NERVE یک شبکه مشارکتی طبقه بندی نشده است که منابع ذخیره سازی، محاسباتی و شبکه را ارائه می دهد. مهاجمان مظنون به انجام شناسایی در شبکه های نقض شده، سوء استفاده از یکی از شبکه های خصوصی مجازی (VPN) با استفاده از آسیب پذیری های روز صفر Ivanti Connect Secure و دور زدن احراز هویت چند عاملی از طریق ربودن جلسه هستند.
پس از استقرار پوسته وب ROOTROT، عامل تهدید محیط NERVE را تجزیه و تحلیل کرد و با چندین میزبان ESXi ارتباط برقرار کرد و کنترل زیرساخت VMware MITRE را به دست آورد. آنها سپس یک درب پشتی Golang به نام BRICKSTORM و یک پوسته وب نامشخص به نام BEEFLUSH را معرفی کردند. BRICKSTORM یک درب پشتی مبتنی بر Go است که برای هدف قرار دادن سرورهای VMware vCenter طراحی شده است. این می تواند خود را به عنوان یک وب سرور پیکربندی کند، سیستم های فایل و دایرکتوری ها را دستکاری کند، عملیات فایل مانند بارگذاری و دانلود، اجرای دستورات پوسته، و تسهیل انتقال SOCKS را انجام دهد.
این مراحل دسترسی مداوم را تضمین میکرد و به دشمن امکان میداد دستورات دلخواه را اجرا کند و با سرورهای فرمان و کنترل ارتباط برقرار کند. حریف از دستکاری SSH و اجرای اسکریپت های مشکوک برای حفظ کنترل بر روی سیستم های در معرض خطر استفاده کرد.
ابزارهای تهدید کننده اضافی که در کنار ROOTROT استفاده می شود
تجزیه و تحلیل بیشتر نشان می دهد که عامل تهدید یک پوسته وب دیگر به نام WIREFIRE (همچنین به عنوان GIFTEDVISITOR) یک روز پس از افشای عمومی آسیب پذیری های دوگانه در 11 ژانویه 2024 مستقر شده است. این استقرار با هدف فعال کردن ارتباطات مخفی و استخراج داده ها انجام شده است.
علاوه بر استفاده از پوسته وب BUSHWALK برای انتقال دادهها از شبکه NERVE به زیرساخت فرماندهی و کنترل، دشمن از فوریه تا اواسط مارس 2024 تلاشهایی برای حرکت جانبی و حفظ پایداری در NERVE انجام داد.
در طول فعالیتهای خود، مهاجمان یک فرمان پینگ را با هدف قرار دادن یکی از کنترلکنندههای دامنه شرکتی MITRE اجرا کردند و سعی کردند به سمت سیستمهای MITER حرکت کنند، اگرچه این تلاشها در نهایت ناموفق بود.