ROOTROT मैलवेयर

साइबर हमलावरों ने हाल ही में MITRE के नेटवर्क्ड एक्सपेरीमेंटेशन, रिसर्च और वर्चुअलाइजेशन एनवायरनमेंट (NERVE) नेटवर्क को निशाना बनाया है। हमलावरों को एक राष्ट्र-राज्य समूह माना जाता है, जिन्होंने जनवरी 2024 से शुरू होने वाले इवान्टी कनेक्ट सिक्योर उपकरणों में दो शून्य-दिन की कमजोरियों का फायदा उठाया। व्यापक जांच के माध्यम से, विशेषज्ञों ने पुष्टि की है कि हमलावरों ने प्रारंभिक पहुँच प्राप्त करने के लिए ROOTROT नामक एक पर्ल-आधारित वेब शेल का उपयोग किया।

ROOTROT को '/data/runtime/tmp/tt/setcookie.thtml.ttc' पर स्थित एक वैध कनेक्ट सिक्योर .ttc फ़ाइल के भीतर छिपाया गया था और इसे चीन से जुड़े साइबर जासूसी समूह के रूप में जाना जाता है जिसे UNC5221 के रूप में जाना जाता है। हैकर्स का यही समूह बुशवॉक, चेनलाइन, फ्रेमस्टिंग और लाइटवायर सहित अन्य वेब शेल से जुड़ा हुआ है।

संक्रमण दो कमजोरियों का फायदा उठाने के बाद फैला

इस हमले में CVE-2023-46805 और CVE-2024-21887 का दुरुपयोग किया गया, जिससे खतरे पैदा करने वाले तत्वों को प्रमाणीकरण को दरकिनार करने और प्रभावित सिस्टम पर मनमाने आदेशों को निष्पादित करने में सक्षम बनाया गया।

एक बार प्रारंभिक पहुँच प्राप्त हो जाने के बाद, खतरा पैदा करने वाले अभिनेता पार्श्विक रूप से आगे बढ़ते हैं और एक समझौता किए गए व्यवस्थापक खाते का उपयोग करके VMware के बुनियादी ढांचे में घुसपैठ करते हैं। इस उल्लंघन ने दृढ़ता और क्रेडेंशियल हार्वेस्टिंग के लिए बैकडोर और वेब शेल की तैनाती को सुविधाजनक बनाया।

NERVE एक अवर्गीकृत सहयोगी नेटवर्क है जो भंडारण, कंप्यूटिंग और नेटवर्किंग संसाधन प्रदान करता है। हमलावरों पर संदेह है कि उन्होंने भंग नेटवर्क पर टोही की, इवान्टी कनेक्ट सिक्योर जीरो-डे कमजोरियों का उपयोग करके वर्चुअल प्राइवेट नेटवर्क (VPN) में से एक का शोषण किया और सत्र अपहरण के माध्यम से बहु-कारक प्रमाणीकरण को दरकिनार कर दिया।

ROOTROT वेब शेल को तैनात करने के बाद, खतरे वाले अभिनेता ने NERVE वातावरण का विश्लेषण किया और कई ESXi होस्ट के साथ संचार शुरू किया, जिससे MITRE के VMware इंफ्रास्ट्रक्चर पर नियंत्रण प्राप्त हुआ। फिर उन्होंने BRICKSTORM नामक एक Golang बैकडोर और BEEFLUSH नामक एक अज्ञात वेब शेल पेश किया। BRICKSTORM एक Go-आधारित बैकडोर है जिसे VMware vCenter सर्वर को लक्षित करने के लिए डिज़ाइन किया गया है। यह खुद को एक वेब सर्वर के रूप में कॉन्फ़िगर करने, फ़ाइल सिस्टम और निर्देशिकाओं में हेरफेर करने, अपलोडिंग और डाउनलोडिंग जैसे फ़ाइल संचालन करने, शेल कमांड निष्पादित करने और SOCKS रिलेइंग की सुविधा प्रदान करने में सक्षम है।

इन कदमों ने निरंतर पहुँच सुनिश्चित की, जिससे विरोधी को मनमाने आदेशों को निष्पादित करने और कमांड-एंड-कंट्रोल सर्वर के साथ संवाद करने में सक्षम बनाया गया। विरोधी ने SSH हेरफेर का इस्तेमाल किया और समझौता किए गए सिस्टम पर नियंत्रण बनाए रखने के लिए संदिग्ध स्क्रिप्ट चलाई।

ROOTROT के साथ-साथ इस्तेमाल किए गए अतिरिक्त धमकी भरे उपकरण

आगे के विश्लेषण से पता चला है कि धमकी देने वाले अभिनेता ने 11 जनवरी 2024 को दोहरी कमजोरियों के सार्वजनिक प्रकटीकरण के एक दिन बाद WIREFIRE (जिसे GIFTEDVISITOR के रूप में भी जाना जाता है) नामक एक और वेब शेल तैनात किया। इस तैनाती का उद्देश्य गुप्त संचार और डेटा निष्कासन को सक्षम करना था।

NERVE नेटवर्क से अपने कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर तक डेटा संचारित करने के लिए BUSHWALK वेब शेल का उपयोग करने के अलावा, विरोधी ने कथित तौर पर फरवरी से मार्च 2024 के मध्य तक NERVE के भीतर आगे बढ़ने और दृढ़ता बनाए रखने का प्रयास किया।

अपनी गतिविधियों के दौरान, हमलावरों ने MITRE के कॉर्पोरेट डोमेन नियंत्रकों में से एक को लक्ष्य करते हुए एक पिंग कमांड निष्पादित किया और MITRE प्रणालियों में घुसपैठ करने का प्रयास किया, हालांकि ये प्रयास अंततः असफल रहे।