ROOTROT Malware

A kibertámadók a közelmúltban a MITRE Networked Experimentation, Research and Virtualization Environment (NERVE) hálózatait vették célba. A támadók nemzetállami csoportnak tartották, és 2024 januárjától kihasználták az Ivanti Connect Secure eszközök két nulladik napi sebezhetőségét. A szakértők kiterjedt vizsgálata során megerősítették, hogy a támadók egy ROOTROT nevű Perl-alapú webhéjat telepítettek a kezdeti hozzáférés megszerzésére. .

A ROOTROT egy legitim Connect Secure .ttc fájlban volt elrejtve, amely a „/data/runtime/tmp/tt/setcookie.thtml.ttc” címen található, és az UNC5221 néven ismert, Kínához kötődő kiberkémkedési klaszternek tulajdonítható. A hackerek ugyanezt a csoportját más webhéjakkal is kapcsolatba hozták, beleértve a BUSHWALK-ot, a CHAINLINE-t, a FRAMESTING-et és a LIGHTWIRE-t.

A fertőzés két sebezhetőség kihasználását követte

A támadás a CVE-2023-46805 és a CVE-2024-21887 kódok kihasználását jelentette, lehetővé téve a fenyegetés szereplői számára, hogy megkerüljék a hitelesítést és tetszőleges parancsokat hajtsanak végre a feltört rendszeren.

A kezdeti hozzáférés megszerzése után a fenyegetés szereplői oldalirányban mozogtak, és egy feltört rendszergazdai fiók segítségével behatoltak a VMware infrastruktúrájába. Ez az incidens megkönnyítette a hátsó ajtók és a webhéjak telepítését a kitartás és a hitelesítő adatok begyűjtése érdekében.

A NERVE egy besorolatlan együttműködési hálózat, amely tárolási, számítástechnikai és hálózati erőforrásokat kínál. A támadók a gyanú szerint felderítést végeztek a feltört hálózatokon, kihasználták az egyik virtuális magánhálózatot (VPN) az Ivanti Connect Secure nulladik napi sebezhetőségével, és munkamenet-eltérítéssel megkerülték a többtényezős hitelesítést.

A ROOTROT Web shell telepítése után a fenyegetés szereplője elemezte a NERVE környezetet, és kommunikációt kezdeményezett több ESXi gazdagéppel, átvéve az irányítást a MITRE VMware infrastruktúrája felett. Ezután bemutattak egy BRICKSTORM nevű Golang hátsó ajtót és egy BEEFLUSH nevű, nem titkolt webhéjat. A BRICKSTORM egy Go-alapú hátsó ajtó, amelyet a VMware vCenter szerverek megcélzására terveztek. Képes webszerverként konfigurálni magát, fájlrendszereket és könyvtárakat kezelni, fájlműveleteket, például fel- és letöltést végrehajtani, shell-parancsokat végrehajtani, és megkönnyíti a SOCKS továbbítását.

Ezek a lépések folyamatos hozzáférést biztosítottak, lehetővé téve az ellenfél számára, hogy tetszőleges parancsokat hajtson végre, és kommunikáljon a parancs- és vezérlőszerverekkel. Az ellenfél SSH-manipulációt alkalmazott, és gyanús szkripteket futtatott, hogy megtartsa az irányítást a feltört rendszerek felett.

A ROOTROT mellett használt további fenyegető eszközök

A további elemzések feltárták, hogy a fenyegetettség szereplője egy másik, WIREFIRE nevű webes shellt (más néven GIFTEDVISITOR) telepített egy nappal a kettős sebezhetőség 2024. január 11-i nyilvánosságra hozatala után. Ennek a telepítésnek az volt a célja, hogy lehetővé tegye a titkos kommunikációt és az adatok kiszűrését.

Amellett, hogy a BUSHWALK webhéjat használta adatok továbbítására a NERVE hálózatról a Command-and-Control infrastruktúrájukba, az ellenfél állítólag megpróbált oldalirányban mozogni és fenntartani a kitartást a NERVE-n belül 2024 februárjától március közepéig.

Tevékenységük során a támadók egy ping parancsot hajtottak végre a MITRE egyik vállalati tartományvezérlőjére, és megpróbáltak oldalirányban bejutni a MITER rendszerekbe, bár ezek a próbálkozások végül sikertelenek voltak.