Zlonamerna programska oprema ROOTROT

Kibernetski napadalci so pred kratkim ciljali na omrežja MITRE's Networked Experimentation, Research, and Virtualization Environment (NERVE). Napadalci, za katere se domneva, da so skupina iz nacionalne države, so od januarja 2024 izkoristili dve ranljivosti ničelnega dne v napravah Ivanti Connect Secure. Z obsežno preiskavo so strokovnjaki potrdili, da so napadalci za pridobitev začetnega dostopa uporabili spletno lupino ROOTROT, ki temelji na Perlu. .

ROOTROT je bil skrit v legitimni datoteki Connect Secure .ttc, ki se nahaja na naslovu '/data/runtime/tmp/tt/setcookie.thtml.ttc' in je pripisan grozdu kibernetskega vohunjenja, ki je znan kot UNC5221 in je povezan s Kitajsko. Ta ista skupina hekerjev je bila povezana z drugimi spletnimi lupinami, vključno z BUSHWALK, CHAINLINE, FRAMESTING in LIGHTWIRE.

Okužba je sledila izkoriščanju dveh ranljivosti

Napad je vključeval izkoriščanje CVE-2023-46805 in CVE-2024-21887, kar je akterjem groženj omogočilo, da se izognejo avtentikaciji in izvajajo poljubne ukaze v ogroženem sistemu.

Ko je bil pridobljen začetni dostop, so se akterji grožnje pomaknili stransko in infiltrirali v infrastrukturo VMware z uporabo ogroženega skrbniškega računa. Ta kršitev je olajšala uvedbo stranskih vrat in spletnih lupin za obstojnost in zbiranje poverilnic.

NERVE je nerazvrščeno sodelovalno omrežje, ki ponuja vire za shranjevanje, računalništvo in mreženje. Sumi se, da so napadalci izvedli izvid nad omrežji, v katerih je prišlo do vdora, izkoristili eno od navideznih zasebnih omrežij (VPN) z uporabo ranljivosti ničelnega dne Ivanti Connect Secure in zaobšli večfaktorsko avtentikacijo z ugrabitvijo seje.

Po uvedbi spletne lupine ROOTROT je akter grožnje analiziral okolje NERVE in sprožil komunikacijo z več gostitelji ESXi ter tako pridobil nadzor nad infrastrukturo VMware podjetja MITRE. Nato so predstavili stranska vrata Golang z imenom BRICKSTORM in nerazkrito spletno lupino z imenom BEEFLUSH. BRICKSTORM je zadnja vrata, ki temeljijo na Go, namenjena ciljanju na strežnike VMware vCenter. Sposoben se je konfigurirati kot spletni strežnik, manipulirati z datotečnimi sistemi in imeniki, izvajati datotečne operacije, kot sta nalaganje in nalaganje, izvajati ukaze lupine in olajšati posredovanje SOCKS.

Ti koraki so zagotovili stalen dostop, kar je nasprotniku omogočilo izvajanje poljubnih ukazov in komunikacijo s strežniki za ukaze in nadzor. Nasprotnik je uporabil manipulacijo SSH in izvajal sumljive skripte, da bi obdržal nadzor nad ogroženimi sistemi.

Dodatna orodja za grožnje, ki se uporabljajo skupaj z ROOTROT

Nadaljnja analiza je pokazala, da je povzročitelj grožnje uvedel drugo spletno lupino, imenovano WIREFIRE (znano tudi kot GIFTEDVISITOR), dan po javnem razkritju dvojne ranljivosti 11. januarja 2024. Namen te uvedbe je bil omogočiti prikrito komunikacijo in izločanje podatkov.

Poleg uporabe spletne lupine BUSHWALK za prenos podatkov iz omrežja NERVE v njihovo infrastrukturo za poveljevanje in nadzor naj bi se nasprotnik od februarja do sredine marca 2024 poskušal premakniti bočno in ohraniti obstojnost znotraj NERVE.

Med svojimi dejavnostmi so napadalci izvedli ukaz ping, ki je bil usmerjen na enega od krmilnikov domen podjetja MITRE, in se poskušali bočno premakniti v sisteme MITER, čeprav so bili ti poskusi na koncu neuspešni.