Вредоносное ПО ROOTROT

Киберзлоумышленники недавно атаковали сеть Networked Experimentation, Research and Virtualization Environment (NERVE) компании MITRE. Злоумышленники, предположительно представлявшие группу национального государства, использовали две уязвимости нулевого дня в устройствах Ivanti Connect Secure, начиная с января 2024 года. В ходе тщательного расследования эксперты подтвердили, что злоумышленники развернули веб-оболочку на основе Perl под названием ROOTROT для получения первоначального доступа. .

ROOTROT был спрятан в законном файле Connect Secure .ttc, расположенном по адресу «/data/runtime/tmp/tt/setcookie.thtml.ttc», и его приписывают связанному с Китаем кластеру кибершпионажа, известному как UNC5221. Эта же группа хакеров была связана с другими веб-оболочками, включая BUSHWALK, CHAINLINE, FRAMESTING и LIGHTWIRE.

Заражение последовало за эксплуатацией двух уязвимостей

Атака включала использование CVE-2023-46805 и CVE-2024-21887, что позволило злоумышленникам обходить аутентификацию и выполнять произвольные команды в скомпрометированной системе.

После получения первоначального доступа злоумышленники начали двигаться в горизонтальном направлении и проникнуть в инфраструктуру VMware, используя скомпрометированную учетную запись администратора. Это нарушение облегчило развертывание бэкдоров и веб-оболочек для обеспечения устойчивости и сбора учетных данных.

NERVE — это несекретная сеть для совместной работы, предлагающая ресурсы хранения, вычислений и сетевых ресурсов. Предполагается, что злоумышленники провели разведку взломанных сетей, воспользовались одной из виртуальных частных сетей (VPN) с использованием уязвимостей нулевого дня Ivanti Connect Secure и обошли многофакторную аутентификацию посредством перехвата сеанса.

После развертывания веб-оболочки ROOTROT злоумышленник проанализировал среду NERVE и инициировал связь с несколькими хостами ESXi, получив контроль над инфраструктурой VMware MITRE. Затем они представили бэкдор Golang под названием BRICKSTORM и нераскрытую веб-оболочку под названием BEEFLUSH. BRICKSTORM — это бэкдор на основе Go, предназначенный для серверов VMware vCenter. Он способен настраивать себя как веб-сервер, манипулировать файловыми системами и каталогами, выполнять файловые операции, такие как загрузка и загрузка, выполнять команды оболочки и обеспечивать ретрансляцию SOCKS.

Эти шаги обеспечили непрерывный доступ, позволив злоумышленнику выполнять произвольные команды и связываться с серверами управления и контроля. Злоумышленник использовал манипуляции с SSH и запускал подозрительные скрипты, чтобы сохранить контроль над скомпрометированными системами.

Дополнительные инструменты угроз, используемые вместе с ROOTROT

Дальнейший анализ показал, что злоумышленник развернул еще одну веб-оболочку под названием WIREFIRE (также известную как GIFTEDVISITOR) на следующий день после публичного раскрытия двойной уязвимости 11 января 2024 года. Целью этого развертывания было обеспечение скрытой связи и кражи данных.

Сообщается, что помимо использования веб-оболочки BUSHWALK для передачи данных из сети NERVE в свою инфраструктуру управления и контроля, с февраля по середину марта 2024 года злоумышленник предпринимал попытки перемещаться в горизонтальном направлении и сохранять постоянство внутри NERVE.

В ходе своей деятельности злоумышленники выполнили команду ping, нацеленную на один из корпоративных контроллеров домена MITRE, и попытались проникнуть в системы MITRE, однако эти попытки в конечном итоге оказались безуспешными.