بدافزار ROOTROT

مهاجمان سایبری اخیراً شبکه‌های آزمایش شبکه‌ای، تحقیقات و محیط مجازی‌سازی (NERVE) MITRE را هدف قرار داده‌اند. مهاجمانی که گمان می‌رود یک گروه دولت-ملت باشند، از دو آسیب‌پذیری روز صفر در دستگاه‌های Ivanti Connect Secure از ژانویه 2024 سوء استفاده کردند. با تحقیقات گسترده، کارشناسان تأیید کرده‌اند که مهاجمان یک پوسته وب مبتنی بر Perl به نام ROOTROT را برای دستیابی به دسترسی اولیه مستقر کرده‌اند. .

ROOTROT در یک فایل قانونی Connect Secure .ttc واقع در '/data/runtime/tmp/tt/setcookie.thtml.ttc' پنهان شده بود و به یک خوشه جاسوسی سایبری مرتبط با چین به نام UNC5221 نسبت داده می شود. همین گروه از هکرها با پوسته های وب دیگر از جمله BUSHWALK، CHAINLINE، FRAMESTING و LIGHTWIRE مرتبط بوده اند.

این عفونت به دنبال بهره برداری از دو آسیب پذیری بود

این حمله شامل بهره برداری از CVE-2023-46805 و CVE-2024-21887 بود که به عوامل تهدید امکان می داد تا احراز هویت را دور بزنند و دستورات دلخواه را بر روی سیستم در معرض خطر اجرا کنند.

هنگامی که دسترسی اولیه به دست آمد، عوامل تهدید به حرکت جانبی و نفوذ به زیرساخت VMware با استفاده از یک حساب کاربری در معرض خطر ادامه دادند. این نقض، استقرار درهای پشتی و پوسته های وب را برای تداوم و برداشت اعتبار تسهیل کرد.

NERVE یک شبکه مشارکتی طبقه بندی نشده است که منابع ذخیره سازی، محاسباتی و شبکه را ارائه می دهد. مهاجمان مظنون به انجام شناسایی در شبکه های نقض شده، سوء استفاده از یکی از شبکه های خصوصی مجازی (VPN) با استفاده از آسیب پذیری های روز صفر Ivanti Connect Secure و دور زدن احراز هویت چند عاملی از طریق ربودن جلسه هستند.

پس از استقرار پوسته وب ROOTROT، عامل تهدید محیط NERVE را تجزیه و تحلیل کرد و با چندین میزبان ESXi ارتباط برقرار کرد و کنترل زیرساخت VMware MITRE را به دست آورد. آنها سپس یک درب پشتی Golang به نام BRICKSTORM و یک پوسته وب نامشخص به نام BEEFLUSH را معرفی کردند. BRICKSTORM یک درب پشتی مبتنی بر Go است که برای هدف قرار دادن سرورهای VMware vCenter طراحی شده است. این می تواند خود را به عنوان یک وب سرور پیکربندی کند، سیستم های فایل و دایرکتوری ها را دستکاری کند، عملیات فایل مانند بارگذاری و دانلود، اجرای دستورات پوسته، و تسهیل انتقال SOCKS را انجام دهد.

این مراحل دسترسی مداوم را تضمین می‌کرد و به دشمن امکان می‌داد دستورات دلخواه را اجرا کند و با سرورهای فرمان و کنترل ارتباط برقرار کند. حریف از دستکاری SSH و اجرای اسکریپت های مشکوک برای حفظ کنترل بر روی سیستم های در معرض خطر استفاده کرد.

ابزارهای تهدید کننده اضافی که در کنار ROOTROT استفاده می شود

تجزیه و تحلیل بیشتر نشان می دهد که عامل تهدید یک پوسته وب دیگر به نام WIREFIRE (همچنین به عنوان GIFTEDVISITOR) یک روز پس از افشای عمومی آسیب پذیری های دوگانه در 11 ژانویه 2024 مستقر شده است. این استقرار با هدف فعال کردن ارتباطات مخفی و استخراج داده ها انجام شده است.

علاوه بر استفاده از پوسته وب BUSHWALK برای انتقال داده‌ها از شبکه NERVE به زیرساخت فرماندهی و کنترل، دشمن از فوریه تا اواسط مارس 2024 تلاش‌هایی برای حرکت جانبی و حفظ پایداری در NERVE انجام داد.

در طول فعالیت‌های خود، مهاجمان یک فرمان پینگ را با هدف قرار دادن یکی از کنترل‌کننده‌های دامنه شرکتی MITRE اجرا کردند و سعی کردند به سمت سیستم‌های MITER حرکت کنند، اگرچه این تلاش‌ها در نهایت ناموفق بود.