ROOTROT ļaunprātīga programmatūra

Kiberuzbrucēji nesen ir mērķējuši uz MITRE tīkla eksperimentēšanas, izpētes un virtualizācijas vides (NERVE) tīkliem. Uzbrucēji, kas tiek uzskatīti par nacionālas valsts grupējumu, izmantoja divas nulles dienas ievainojamības Ivanti Connect Secure ierīcēs, sākot no 2024. gada janvāra. Veicot plašu izmeklēšanu, eksperti ir apstiprinājuši, ka uzbrucēji izvietoja uz Perl balstītu tīmekļa čaulu ar nosaukumu ROOTROT, lai iegūtu sākotnējo piekļuvi. .

ROOTROT tika paslēpts likumīgā Connect Secure .ttc failā, kas atrodas '/data/runtime/tmp/tt/setcookie.thtml.ttc', un ir saistīts ar kiberspiegošanas kopu, kas ir saistīta ar Ķīnu, kas pazīstama kā UNC5221. Šī pati hakeru grupa ir saistīta ar citām tīmekļa čaulām, tostarp BUSHWALK, CHAINLINE, FRAMESTING un LIGHTWIRE.

Infekcija sekoja divu ievainojamību izmantošanai

Uzbrukums ietvēra CVE-2023-46805 un CVE-2024-21887 izmantošanu, ļaujot apdraudējuma dalībniekiem apiet autentifikāciju un izpildīt patvaļīgas komandas apdraudētajā sistēmā.

Kad tika iegūta sākotnējā piekļuve, apdraudējuma dalībnieki sāka pārvietoties uz sāniem un iefiltrēties VMware infrastruktūrā, izmantojot apdraudētu administratora kontu. Šis pārkāpums veicināja aizmugures durvju un tīmekļa čaulu izvietošanu noturības un akreditācijas datu iegūšanai.

NERVE ir neklasificēts sadarbības tīkls, kas piedāvā uzglabāšanas, skaitļošanas un tīkla resursus. Pastāv aizdomas, ka uzbrucēji ir veikuši izlūkošanu uzlauztajos tīklos, izmantojuši vienu no virtuālajiem privātajiem tīkliem (VPN), izmantojot Ivanti Connect Secure nulles dienas ievainojamību, un apiejuši vairāku faktoru autentifikāciju, izmantojot sesijas nolaupīšanu.

Pēc ROOTROT Web čaulas izvietošanas draudu dalībnieks analizēja NERVE vidi un uzsāka saziņu ar vairākiem ESXi saimniekiem, iegūstot kontroli pār MITRE VMware infrastruktūru. Pēc tam viņi ieviesa Golang aizmugures durvis ar nosaukumu BRICKSTORM un neizpaužamu tīmekļa apvalku ar nosaukumu BEEFLUSH. BRICKSTORM ir uz Go balstītas aizmugures durvis, kas paredzētas VMware vCenter serveriem. Tas spēj konfigurēt sevi kā tīmekļa serveri, manipulēt ar failu sistēmām un direktorijiem, veikt failu darbības, piemēram, augšupielādi un lejupielādi, izpildīt čaulas komandas un atvieglot SOCKS pārsūtīšanu.

Šīs darbības nodrošināja nepārtrauktu piekļuvi, ļaujot pretiniekam izpildīt patvaļīgas komandas un sazināties ar komandu un vadības serveriem. Pretinieks izmantoja SSH manipulācijas un palaida aizdomīgus skriptus, lai saglabātu kontroli pār apdraudētajām sistēmām.

Papildu draudu instrumenti, kas izmantoti kopā ar ROOTROT

Turpmāka analīze atklāja, ka draudu izpildītājs izvietoja citu tīmekļa apvalku ar nosaukumu WIREFIRE (pazīstams arī kā GIFTEDVISITOR) dienu pēc dubultās ievainojamības publiskošanas 2024. gada 11. janvārī. Šīs izvietošanas mērķis bija nodrošināt slēptu saziņu un datu izfiltrēšanu.

Tiek ziņots, ka ne tikai BUSHWALK tīmekļa čaulas izmantošana, lai pārsūtītu datus no NERVE tīkla uz savu vadības un kontroles infrastruktūru, bet arī mēģināja pārvietoties uz sāniem un saglabāt noturību NERVE ietvaros no 2024. gada februāra līdz marta vidum.

Savu darbību laikā uzbrucēji izpildīja ping komandu, kas bija mērķēta uz vienu no MITRE korporatīvajiem domēna kontrolleriem, un mēģināja pārvietoties sāniski MITER sistēmās, lai gan šie mēģinājumi galu galā bija neveiksmīgi.