ROOTROT Malware

Cyber napadači nedavno su ciljali mreže MITRE-a za umreženo eksperimentalno, istraživačko i virtualizacijsko okruženje (NERVE). Napadači za koje se vjeruje da su skupina iz nacionalne države, iskoristili su dvije ranjivosti nultog dana u uređajima Ivanti Connect Secure počevši od siječnja 2024. Kroz opsežnu istragu, stručnjaci su potvrdili da su napadači postavili web školjku temeljenu na Perlu pod nazivom ROOTROT kako bi dobili početni pristup .

ROOTROT je bio skriven u legitimnoj Connect Secure .ttc datoteci koja se nalazi na '/data/runtime/tmp/tt/setcookie.thtml.ttc' i pripisuje se klasteru cyber špijunaže s vezama s Kinom poznatom kao UNC5221. Ova ista skupina hakera povezana je s drugim web školjkama, uključujući BUSHWALK, CHAINLINE, FRAMESTING i LIGHTWIRE.

Infekcija je uslijedila nakon iskorištavanja dvije ranjivosti

Napad je uključivao iskorištavanje CVE-2023-46805 i CVE-2024-21887, omogućujući akterima prijetnje da zaobiđu autentifikaciju i izvrše proizvoljne naredbe na kompromitiranom sustavu.

Nakon što je dobiven prvi pristup, akteri prijetnje nastavili su se kretati bočno i infiltrirati se u VMware infrastrukturu koristeći kompromitirani administratorski račun. Ova povreda omogućila je implementaciju backdoor-a i web shell-a za postojanost i prikupljanje vjerodajnica.

NERVE je neklasificirana mreža za suradnju koja nudi resurse za pohranu, računalstvo i umrežavanje. Sumnja se da su napadači izvršili izviđanje probijenih mreža, iskoristili jednu od virtualnih privatnih mreža (VPN) koristeći Ivanti Connect Secure zero-day ranjivosti i zaobišli višefaktorsku autentifikaciju putem otmice sesije.

Nakon postavljanja ROOTROT web ljuske, prijetnja je analizirala NERVE okruženje i pokrenula komunikaciju s nekoliko ESXi hostova, preuzimajući kontrolu nad VMware infrastrukturom MITRE. Zatim su predstavili Golang backdoor pod nazivom BRICKSTORM i neobjavljenu web ljusku pod nazivom BEEFLUSH. BRICKSTORM je backdoor temeljen na Go-u dizajniran za ciljanje poslužitelja VMware vCenter. Može se konfigurirati kao web poslužitelj, manipulirati datotečnim sustavima i direktorijima, provoditi operacije datoteka poput učitavanja i preuzimanja, izvršavati naredbe ljuske i olakšavati prijenos SOCKS-a.

Ovi koraci osiguravaju kontinuirani pristup, omogućujući protivniku izvršavanje proizvoljnih naredbi i komunikaciju s poslužiteljima za naredbu i kontrolu. Protivnik je koristio SSH manipulaciju i pokretao sumnjive skripte kako bi zadržao kontrolu nad kompromitiranim sustavima.

Dodatni prijeteći alati koji se koriste uz ROOTROT

Daljnja analiza je otkrila da je akter prijetnje postavio još jednu web ljusku pod nazivom WIREFIRE (također poznatu kao GIFTEDVISITOR) dan nakon javnog otkrivanja dvostruke ranjivosti 11. siječnja 2024. Ova implementacija je imala za cilj omogućiti tajnu komunikaciju i eksfiltraciju podataka.

Osim korištenja web shell-a BUSHWALK za prijenos podataka iz mreže NERVE u njihovu infrastrukturu za zapovijedanje i kontrolu, protivnik se navodno pokušao pomaknuti bočno i održati postojanost unutar NERVE-a od veljače do sredine ožujka 2024.

Tijekom svojih aktivnosti, napadači su izvršili ping naredbu ciljajući jedan od MITRE-ovih korporativnih kontrolera domene i pokušali se bočno pomaknuti u MITER sustave, iako su ti pokušaji na kraju bili neuspješni.