ROOTROT Malvér

Kybernetickí útočníci sa nedávno zamerali na siete MITRE Networked Experimentation, Research and Virtualization Environment (NERVE). Útočníci sa domnievali, že ide o národnú skupinu, ktorá od januára 2024 zneužila dve zraniteľnosti zariadení Ivanti Connect Secure od januára 2024. Na základe rozsiahleho vyšetrovania experti potvrdili, že útočníci nasadili webový shell založený na jazyku Perl s názvom ROOTROT, aby získali počiatočný prístup. .

ROOTROT bol skrytý v legitímnom súbore Connect Secure .ttc, ktorý sa nachádza na adrese '/data/runtime/tmp/tt/setcookie.thtml.ttc' a je pripisovaný klastru kybernetickej špionáže s väzbami na Čínu známemu ako UNC5221. Táto istá skupina hackerov bola spojená s inými webovými shellmi, vrátane BUSHWALK, CHAINLINE, FRAMESTING a LIGHTWIRE.

Infekcia nasledovala po zneužití dvoch zraniteľností

Útok zahŕňal zneužitie CVE-2023-46805 a CVE-2024-21887, čo umožnilo aktérom hrozby obísť autentifikáciu a vykonávať ľubovoľné príkazy na napadnutom systéme.

Po získaní počiatočného prístupu sa aktéri hrozby presunuli do strany a infiltrovali infraštruktúru VMware pomocou kompromitovaného účtu správcu. Toto porušenie uľahčilo nasadenie zadných vrátok a webových škrupín na vytrvalosť a získavanie poverení.

NERVE je neklasifikovaná sieť na spoluprácu, ktorá ponúka úložné, výpočtové a sieťové zdroje. Útočníci sú podozriví, že vykonali prieskum narušených sietí, využili jednu z virtuálnych privátnych sietí (VPN) pomocou zraniteľností Ivanti Connect Secure zero-day a obišli viacfaktorovú autentifikáciu prostredníctvom únosu relácie.

Po nasadení webového shellu ROOTROT aktér hrozby analyzoval prostredie NERVE a inicioval komunikáciu s niekoľkými hostiteľmi ESXi, čím získal kontrolu nad infraštruktúrou VMware MITRE. Potom predstavili zadné vrátka Golang s názvom BRICKSTORM a nezverejnený webový shell s názvom BEEFLUSH. BRICKSTORM je backdoor založený na Go, ktorý je určený na zacielenie na servery VMware vCenter. Je schopný konfigurovať sa ako webový server, manipulovať so súborovými systémami a adresármi, vykonávať operácie so súbormi, ako je nahrávanie a sťahovanie, vykonávanie príkazov shellu a uľahčenie prenosu SOCKS.

Tieto kroky zabezpečili nepretržitý prístup a umožnili protivníkovi vykonávať ľubovoľné príkazy a komunikovať s príkazovými a riadiacimi servermi. Protivník použil SSH manipuláciu a spustil podozrivé skripty, aby si udržal kontrolu nad napadnutými systémami.

Ďalšie ohrozujúce nástroje používané popri ROOTROT

Ďalšia analýza odhalila, že aktér hrozby nasadil ďalší webový shell s názvom WIREFIRE (tiež známy ako GIFTEDVISITOR) deň po zverejnení dvojitých zraniteľností 11. januára 2024. Cieľom tohto nasadenia bolo umožniť skrytú komunikáciu a exfiltráciu údajov.

Okrem použitia webového shellu BUSHWALK na prenos údajov zo siete NERVE do ich infraštruktúry velenia a riadenia sa protivník údajne pokúsil pohybovať sa laterálne a udržiavať vytrvalosť v NERVE od februára do polovice marca 2024.

Počas svojich aktivít útočníci vykonali príkaz ping zameraný na jeden z korporátnych doménových radičov MITRE a pokúsili sa presunúť laterálne do systémov MITER, hoci tieto pokusy boli nakoniec neúspešné.