Malware ROOTROT

Atacatorii cibernetici au vizat recent rețelele MITRE de experimentare, cercetare și virtualizare în rețea (NERVE). Atacatorii despre care se crede că sunt un grup de stat național, au exploatat două vulnerabilități zero-day în dispozitivele Ivanti Connect Secure începând cu ianuarie 2024. Printr-o investigație amplă, experții au confirmat că atacatorii au implementat un shell web bazat pe Perl numit ROOTROT pentru a obține accesul inițial. .

ROOTROT a fost ascuns într-un fișier legitim Connect Secure .ttc situat la „/data/runtime/tmp/tt/setcookie.thtml.ttc” și este atribuit unui grup de spionaj cibernetic cu legături cu China, cunoscut sub numele de UNC5221. Același grup de hackeri a fost asociat cu alte shell-uri web, inclusiv BUSHWALK, CHAINLINE, FRAMESTING și LIGHTWIRE.

Infecția a urmat exploatării a două vulnerabilități

Atacul a implicat exploatarea CVE-2023-46805 și CVE-2024-21887, permițând actorilor amenințări să ocolească autentificarea și să execute comenzi arbitrare pe sistemul compromis.

Odată ce a fost obținut accesul inițial, actorii amenințărilor au procedat să se deplaseze lateral și să se infiltreze în infrastructura VMware folosind un cont de administrator compromis. Această încălcare a facilitat implementarea ușilor din spate și a shell-urilor web pentru persistență și colectarea acreditărilor.

NERVE este o rețea colaborativă neclasificată care oferă resurse de stocare, de calcul și de rețea. Atacatorii sunt suspectați că au efectuat recunoașteri asupra rețelelor sparte, au exploatat una dintre rețelele private virtuale (VPN) folosind vulnerabilitățile Ivanti Connect Secure de tip zero-day și au ocolit autentificarea cu mai mulți factori prin deturnarea sesiunii.

După implementarea shell-ului web ROOTROT, actorul amenințării a analizat mediul NERVE și a inițiat comunicarea cu mai multe gazde ESXi, obținând controlul asupra infrastructurii VMware a MITRE. Apoi au introdus o ușă din spate Golang numită BRICKSTORM și un shell Web nedezvăluit numit BEEFLUSH. BRICKSTORM este un backdoor bazat pe Go, conceput pentru a viza serverele VMware vCenter. Este capabil să se configureze ca server web, să manipuleze sisteme de fișiere și directoare, să efectueze operațiuni de fișiere precum încărcarea și descărcarea, executarea comenzilor shell și facilitarea transmiterii SOCKS.

Acești pași au asigurat accesul continuu, permițând adversarului să execute comenzi arbitrare și să comunice cu serverele de comandă și control. Adversarul a folosit manipularea SSH și a rulat scripturi suspecte pentru a păstra controlul asupra sistemelor compromise.

Instrumente suplimentare de amenințare utilizate împreună cu ROOTROT

O analiză ulterioară a dezvăluit că actorul amenințării a desfășurat un alt shell Web numit WIREFIRE (cunoscut și ca GIFTEDVISITOR) la o zi după dezvăluirea publică a vulnerabilităților duble pe 11 ianuarie 2024. Această implementare a avut ca scop să permită comunicarea secretă și exfiltrarea datelor.

Pe lângă utilizarea shell-ului web BUSHWALK pentru a transmite date din rețeaua NERVE către infrastructura lor de comandă și control, adversarul ar fi încercat să se deplaseze lateral și să mențină persistența în cadrul NERVE din februarie până la mijlocul lunii martie 2024.

În timpul activităților lor, atacatorii au executat o comandă ping care vizează unul dintre controlerele de domeniu ale companiei MITRE și au încercat să treacă lateral în sistemele MITRE, deși aceste încercări au fost în cele din urmă fără succes.