ਰੂਟਰੋਟ ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਹਮਲਾਵਰਾਂ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ MITRE ਦੇ ਨੈੱਟਵਰਕ ਪ੍ਰਯੋਗ, ਖੋਜ, ਅਤੇ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਵਾਤਾਵਰਨ (NERVE) ਨੈੱਟਵਰਕਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ। ਹਮਲਾਵਰਾਂ ਨੂੰ ਇੱਕ ਰਾਸ਼ਟਰ-ਰਾਜ ਸਮੂਹ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਜਨਵਰੀ 2024 ਵਿੱਚ ਸ਼ੁਰੂ ਹੋਣ ਵਾਲੇ ਇਵੰਤੀ ਕਨੈਕਟ ਸਿਕਿਓਰ ਉਪਕਰਣਾਂ ਵਿੱਚ ਦੋ ਜ਼ੀਰੋ-ਦਿਨ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ। ਵਿਆਪਕ ਜਾਂਚ ਦੁਆਰਾ, ਮਾਹਰਾਂ ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਹੈ ਕਿ ਹਮਲਾਵਰਾਂ ਨੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਰੂਟ੍ਰੋਟ ਨਾਮਕ ਇੱਕ ਪਰਲ-ਅਧਾਰਿਤ ਵੈੱਬ ਸ਼ੈੱਲ ਤਾਇਨਾਤ ਕੀਤਾ ਸੀ। .
ਰੂਟਰੋਟ ਨੂੰ '/data/runtime/tmp/tt/setcookie.thtml.ttc' 'ਤੇ ਸਥਿਤ ਇੱਕ ਜਾਇਜ਼ Connect Secure .ttc ਫਾਈਲ ਦੇ ਅੰਦਰ ਛੁਪਾਇਆ ਗਿਆ ਸੀ ਅਤੇ ਇਸ ਨੂੰ UNC5221 ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਚੀਨ ਨਾਲ ਸਬੰਧਾਂ ਵਾਲੇ ਇੱਕ ਸਾਈਬਰ ਜਾਸੂਸੀ ਕਲੱਸਟਰ ਨੂੰ ਮੰਨਿਆ ਗਿਆ ਹੈ। ਹੈਕਰਾਂ ਦਾ ਇਹੀ ਸਮੂਹ ਹੋਰ ਵੈੱਬ ਸ਼ੈੱਲਾਂ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਬੁਸ਼ਵਾਲਕ, ਚੈਨਲਾਈਨ, ਫਰੇਮੈਸਟਿੰਗ ਅਤੇ ਲਾਈਟਵਾਇਰ ਸ਼ਾਮਲ ਹਨ।
ਲਾਗ ਨੇ ਦੋ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ
ਹਮਲੇ ਵਿੱਚ CVE-2023-46805 ਅਤੇ CVE-2024-21887 ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਸ਼ਾਮਲ ਸੀ, ਜਿਸ ਨਾਲ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰਾਂ ਨੂੰ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਰੋਕਣ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਮਨਮਾਨੇ ਹੁਕਮਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ ਗਿਆ ਸੀ।
ਇੱਕ ਵਾਰ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਇੱਕ ਸਮਝੌਤਾ ਪ੍ਰਸ਼ਾਸਕ ਖਾਤੇ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬਾਅਦ ਵਿੱਚ ਚਲੇ ਗਏ ਅਤੇ VMware ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧੇ। ਇਸ ਉਲੰਘਣਾ ਨੇ ਸਥਿਰਤਾ ਅਤੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਵਾਢੀ ਲਈ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਅਤੇ ਵੈਬ ਸ਼ੈੱਲਾਂ ਦੀ ਤਾਇਨਾਤੀ ਦੀ ਸਹੂਲਤ ਦਿੱਤੀ।
ਨਰਵ ਇੱਕ ਗੈਰ-ਵਰਗੀਕ੍ਰਿਤ ਸਹਿਯੋਗੀ ਨੈੱਟਵਰਕ ਹੈ ਜੋ ਸਟੋਰੇਜ, ਕੰਪਿਊਟਿੰਗ, ਅਤੇ ਨੈੱਟਵਰਕਿੰਗ ਸਰੋਤਾਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ। ਹਮਲਾਵਰਾਂ 'ਤੇ ਸ਼ੱਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਕਿ ਉਨ੍ਹਾਂ ਨੇ ਉਲੰਘਣਾ ਕੀਤੇ ਨੈੱਟਵਰਕਾਂ 'ਤੇ ਜਾਸੂਸੀ ਕੀਤੀ, ਇਵਾਂਟੀ ਕਨੈਕਟ ਸਿਕਿਓਰ ਜ਼ੀਰੋ-ਡੇਅ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਵਰਚੁਅਲ ਪ੍ਰਾਈਵੇਟ ਨੈੱਟਵਰਕ (VPNs) ਵਿੱਚੋਂ ਇੱਕ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਅਤੇ ਸੈਸ਼ਨ ਹਾਈਜੈਕਿੰਗ ਦੁਆਰਾ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਰੋਕਿਆ।
ਰੂਟ੍ਰੋਟ ਵੈੱਬ ਸ਼ੈੱਲ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਧਮਕੀ ਅਦਾਕਾਰ ਨੇ ਨਰਵ ਵਾਤਾਵਰਨ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ ਅਤੇ ਕਈ ESXi ਹੋਸਟਾਂ ਨਾਲ ਸੰਚਾਰ ਸ਼ੁਰੂ ਕੀਤਾ, MITRE ਦੇ VMware ਬੁਨਿਆਦੀ ਢਾਂਚੇ 'ਤੇ ਕੰਟਰੋਲ ਹਾਸਲ ਕੀਤਾ। ਫਿਰ ਉਹਨਾਂ ਨੇ BRICKSTORM ਨਾਮ ਦਾ ਗੋਲੰਗ ਬੈਕਡੋਰ ਅਤੇ BEEFLUSH ਨਾਮ ਦਾ ਇੱਕ ਅਣਦੱਸਿਆ ਵੈੱਬ ਸ਼ੈੱਲ ਪੇਸ਼ ਕੀਤਾ। BRICKSTORM ਇੱਕ ਗੋ-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਹੈ ਜੋ VMware vCenter ਸਰਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਵੈੱਬ ਸਰਵਰ ਦੇ ਰੂਪ ਵਿੱਚ ਸੰਰਚਿਤ ਕਰਨ, ਫਾਈਲ ਸਿਸਟਮਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ, ਫਾਈਲ ਓਪਰੇਸ਼ਨਾਂ ਜਿਵੇਂ ਕਿ ਅਪਲੋਡ ਅਤੇ ਡਾਉਨਲੋਡ ਕਰਨ, ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਅਤੇ SOCKS ਰੀਲੇਅ ਦੀ ਸਹੂਲਤ ਦੇਣ ਦੇ ਸਮਰੱਥ ਹੈ।
ਇਹਨਾਂ ਕਦਮਾਂ ਨੇ ਲਗਾਤਾਰ ਪਹੁੰਚ ਨੂੰ ਯਕੀਨੀ ਬਣਾਇਆ, ਵਿਰੋਧੀ ਨੂੰ ਆਪਹੁਦਰੇ ਹੁਕਮਾਂ ਨੂੰ ਚਲਾਉਣ ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ। ਵਿਰੋਧੀ ਨੇ SSH ਹੇਰਾਫੇਰੀ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਨਿਯੰਤਰਣ ਬਰਕਰਾਰ ਰੱਖਣ ਲਈ ਸ਼ੱਕੀ ਸਕ੍ਰਿਪਟਾਂ ਚਲਾਈਆਂ।
ਰੂਟਰੋਟ ਦੇ ਨਾਲ-ਨਾਲ ਵਰਤੇ ਗਏ ਅਤਿਰਿਕਤ ਧਮਕੀ ਵਾਲੇ ਸਾਧਨ
ਹੋਰ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੇ 11 ਜਨਵਰੀ, 2024 ਨੂੰ ਦੋਹਰੀ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਜਨਤਕ ਖੁਲਾਸੇ ਤੋਂ ਇੱਕ ਦਿਨ ਬਾਅਦ WIREFIRE (ਜਿਸ ਨੂੰ ਗਿਫਟਡਵਿਜ਼ਿਟਰ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਨਾਮਕ ਇੱਕ ਹੋਰ ਵੈੱਬ ਸ਼ੈੱਲ ਤੈਨਾਤ ਕੀਤਾ। ਇਸ ਤੈਨਾਤੀ ਦਾ ਉਦੇਸ਼ ਗੁਪਤ ਸੰਚਾਰ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣਾ ਸੀ।
NERVE ਨੈੱਟਵਰਕ ਤੋਂ ਉਹਨਾਂ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਡੇਟਾ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਲਈ BUSHWALK ਵੈੱਬ ਸ਼ੈੱਲ ਦੀ ਵਰਤੋਂ ਕਰਨ ਤੋਂ ਇਲਾਵਾ, ਵਿਰੋਧੀ ਨੇ ਕਥਿਤ ਤੌਰ 'ਤੇ ਫਰਵਰੀ ਤੋਂ ਮੱਧ ਮਾਰਚ 2024 ਤੱਕ NERVE ਦੇ ਅੰਦਰ ਸਥਿਰਤਾ ਨੂੰ ਕਾਇਮ ਰੱਖਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ।
ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੇ ਦੌਰਾਨ, ਹਮਲਾਵਰਾਂ ਨੇ MITRE ਦੇ ਕਾਰਪੋਰੇਟ ਡੋਮੇਨ ਕੰਟਰੋਲਰਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਇੱਕ ਪਿੰਗ ਕਮਾਂਡ ਨੂੰ ਚਲਾਇਆ ਅਤੇ ਬਾਅਦ ਵਿੱਚ MITER ਸਿਸਟਮਾਂ ਵਿੱਚ ਜਾਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ, ਹਾਲਾਂਕਿ ਇਹ ਕੋਸ਼ਿਸ਼ਾਂ ਅੰਤ ਵਿੱਚ ਅਸਫਲ ਰਹੀਆਂ ਸਨ।
