ROOTROT मालवेयर
साइबर आक्रमणकारीहरूले हालै MITRE को सञ्जाल प्रयोग, अनुसन्धान, र भर्चुअलाइजेसन वातावरण (NERVE) नेटवर्कहरूलाई लक्षित गरेका छन्। आक्रमणकारीहरू राष्ट्र-राज्य समूह हो भनेर विश्वास गरिन्छ, जनवरी 2024 मा सुरु हुने इभान्ती कनेक्ट सुरक्षित उपकरणहरूमा दुई शून्य-दिनको जोखिमको शोषण गरे। विस्तृत अनुसन्धानको माध्यमबाट, विज्ञहरूले पुष्टि गरेका छन् कि आक्रमणकारीहरूले प्रारम्भिक पहुँच प्राप्त गर्नको लागि पर्ल-आधारित वेब शेल प्रयोग गरेका थिए। ।
ROOTROT लाई '/data/runtime/tmp/tt/setcookie.thtml.ttc' मा अवस्थित वैध कनेक्ट सुरक्षित .ttc फाइल भित्र लुकाइएको थियो र UNC5221 भनिने चीनसँगको सम्बन्ध भएको साइबर जासूसी क्लस्टरलाई श्रेय दिइएको छ। ह्याकरहरूको उही समूह BUSHWALK, CHAINLINE, FRAMESTING र LIGHTWIRE लगायत अन्य वेब शेलहरूसँग सम्बन्धित छ।
संक्रमणले दुई कमजोरीहरूको शोषण पछ्यायो
आक्रमणमा CVE-2023-46805 र CVE-2024-21887 को शोषण समावेश थियो, जसले खतराकर्ताहरूलाई प्रमाणीकरणलाई रोक्न र सम्झौता प्रणालीमा स्वेच्छाचारी आदेशहरू कार्यान्वयन गर्न सक्षम बनायो।
एक पटक प्रारम्भिक पहुँच प्राप्त गरिसकेपछि, धम्की कर्ताहरूले पार्श्व सार्न र सम्झौता प्रशासक खाता प्रयोग गरी VMware पूर्वाधारमा घुसपैठ गर्न अगाडि बढे। यो उल्लङ्घनले दृढता र प्रमाणिकरणको लागि ब्याकडोर र वेब शेलहरूको तैनातीलाई सहज बनायो।
NERVE एक अवर्गीकृत सहयोगी नेटवर्क हो जसले भण्डारण, कम्प्युटिङ, र नेटवर्किङ स्रोतहरू प्रदान गर्दछ। आक्रमणकारीहरूले उल्लङ्घन गरिएका नेटवर्कहरूमा जासूसी सञ्चालन गरेको, इभान्ती कनेक्ट सुरक्षित शून्य-दिन जोखिमहरू प्रयोग गरेर भर्चुअल प्राइभेट नेटवर्कहरू (VPNs) मध्ये एउटाको शोषण गरेको र सत्र अपहरण मार्फत बहु-कारक प्रमाणीकरणलाई छल गरेको शंका गरिएको छ।
ROOTROT वेब शेल तैनात गरेपछि, खतरा अभिनेताले NERVE वातावरणको विश्लेषण गर्यो र MITRE को VMware पूर्वाधारमा नियन्त्रण प्राप्त गर्दै धेरै ESXi होस्टहरूसँग सञ्चार सुरु गर्यो। त्यसपछि तिनीहरूले BRICKSTORM नामको गोलाङ्ग ब्याकडोर र BEEFLUSH नामको अज्ञात वेब खोल प्रस्तुत गरे। BRICKSTORM VMware vCenter सर्भरहरूलाई लक्षित गर्न डिजाइन गरिएको गो-आधारित ब्याकडोर हो। यो आफैलाई वेब सर्भरको रूपमा कन्फिगर गर्न, फाइल प्रणालीहरू र डाइरेक्टरीहरू हेरफेर गर्न, अपलोड र डाउनलोड गर्ने, शेल आदेशहरू कार्यान्वयन गर्ने, र SOCKS रिले गर्ने सुविधा जस्ता फाइल सञ्चालनहरू सञ्चालन गर्न सक्षम छ।
यी चरणहरूले निरन्तर पहुँच सुनिश्चित गर्यो, विरोधीलाई स्वेच्छाचारी आदेशहरू कार्यान्वयन गर्न र आदेश-र-नियन्त्रण सर्भरहरूसँग सञ्चार गर्न सक्षम पार्दै। विरोधीले SSH हेरफेर नियोजित गर्यो र सम्झौता प्रणालीहरूमा नियन्त्रण कायम राख्न संदिग्ध लिपिहरू चलाएको थियो।
ROOTROT को साथमा प्रयोग गरिएको अतिरिक्त खतरा उपकरणहरू
थप विश्लेषणले पत्ता लगाएको छ कि खतरा अभिनेताले जनवरी 11, 2024 मा दोहोरो कमजोरीहरूको सार्वजनिक खुलासाको एक दिन पछि WIREFIRE (जसलाई GIFTEDVISITOR पनि भनिन्छ) भनिने अर्को वेब खोल तैनाथ गरेको छ। यो तैनाती गुप्त संचार र डेटा निष्कासन सक्षम पार्ने उद्देश्यले थियो।
BUSHWALK वेब शेल प्रयोग गरी NERVE नेटवर्कबाट डाटालाई तिनीहरूको कमाण्ड-एन्ड-कन्ट्रोल पूर्वाधारमा पठाउनको लागि, विरोधीले फेब्रुअरी देखि मध्य मार्च 2024 सम्म NERVE भित्र पार्श्व सार्न र दृढता कायम राख्ने प्रयास गरेको कथित छ।
तिनीहरूको गतिविधिको क्रममा, आक्रमणकारीहरूले MITRE को कर्पोरेट डोमेन नियन्त्रकहरू मध्ये एकलाई लक्षित गर्दै पिंग आदेश कार्यान्वयन गरे र पछिल्ला रूपमा MITER प्रणालीहरूमा सार्न प्रयास गरे, यद्यपि यी प्रयासहरू अन्ततः असफल भए।
