루트롯 악성코드

사이버 공격자들은 최근 MITRE의 NERVE(Networked Experimentation, Research, and Virtualization Environment) 네트워크를 표적으로 삼았습니다. 국가 집단으로 추정되는 공격자는 2024년 1월부터 Ivanti Connect Secure 어플라이언스의 제로데이 취약점 2개를 악용했습니다. 전문가들은 광범위한 조사를 통해 공격자가 초기 액세스 권한을 얻기 위해 ROOTROT라는 Perl 기반 웹 셸을 배포했음을 확인했습니다. .

ROOTROT는 '/data/runtime/tmp/tt/setcookie.thtml.ttc'에 있는 합법적인 Connect Secure .ttc 파일 내에 숨겨져 있으며 UNC5221로 알려진 중국과 관련된 사이버 스파이 클러스터에 기인합니다. 이 동일한 해커 그룹은 BUSHWALK, CHAINLINE, FRAMESTING 및 LIGHTWIRE를 포함한 다른 웹 셸과 연관되어 있습니다.

두 가지 취약점을 악용한 후 감염이 발생했습니다.

이 공격에는 CVE-2023-46805 및 CVE-2024-21887을 악용하여 위협 행위자가 인증을 우회하고 손상된 시스템에서 임의 명령을 실행할 수 있도록 했습니다.

초기 액세스 권한을 획득한 후 위협 행위자는 손상된 관리자 계정을 사용하여 측면으로 이동하여 VMware 인프라에 침투했습니다. 이 침해로 인해 지속성 및 자격 증명 수집을 위한 백도어 및 웹 셸 배포가 촉진되었습니다.

NERVE는 스토리지, 컴퓨팅 및 네트워킹 리소스를 제공하는 분류되지 않은 협업 네트워크입니다. 공격자는 침해된 네트워크에 대한 정찰을 수행하고 Ivanti Connect Secure 제로데이 취약점을 사용하여 가상 사설망(VPN) 중 하나를 악용했으며 세션 하이재킹을 통해 다단계 인증을 우회한 것으로 의심됩니다.

ROOTROT 웹 셸을 배포한 후 위협 행위자는 NERVE 환경을 분석하고 여러 ESXi 호스트와 통신을 시작하여 MITRE의 VMware 인프라에 대한 제어권을 얻었습니다. 그런 다음 그들은 BRICKSTORM이라는 Golang 백도어와 BEEFLUSH라는 이름의 비공개 웹 셸을 도입했습니다. BRICKSTORM은 VMware vCenter 서버를 표적으로 삼도록 설계된 Go 기반 백도어입니다. 이는 자체를 웹 서버로 구성하고, 파일 시스템 및 디렉터리를 조작하고, 업로드 및 다운로드와 같은 파일 작업을 수행하고, 셸 명령을 실행하고, SOCKS 중계를 용이하게 할 수 있습니다.

이러한 단계를 통해 지속적인 액세스가 보장되어 공격자가 임의의 명령을 실행하고 명령 및 제어 서버와 통신할 수 있습니다. 공격자는 손상된 시스템에 대한 제어권을 유지하기 위해 SSH 조작을 사용하고 의심스러운 스크립트를 실행했습니다.

ROOTROT와 함께 사용되는 추가 위협 도구

추가 분석에 따르면 위협 행위자는 2024년 1월 11일 이중 취약점이 공개된 지 하루 만에 WIREFIRE(GIFTEDVISITOR라고도 함)라는 또 다른 웹 셸을 배포한 것으로 나타났습니다. 이 배포는 은밀한 통신 및 데이터 유출을 가능하게 하는 것을 목표로 했습니다.

공격자는 BUSHWALK 웹 셸을 사용하여 NERVE 네트워크에서 명령 및 제어 인프라로 데이터를 전송하는 것 외에도 2024년 2월부터 3월 중순까지 NERVE 내에서 측면 이동 및 지속성을 유지하려고 시도한 것으로 알려졌습니다.

활동 중에 공격자는 MITRE의 기업 도메인 컨트롤러 중 하나를 대상으로 ping 명령을 실행하고 MITRE 시스템으로 측면 이동을 시도했지만 이러한 시도는 궁극적으로 실패했습니다.