ROOTROT Malware

Cyberangripare har nyligen riktat in sig på MITREs nätverk för nätverksexperiment, forskning och virtualiseringsmiljö (NERVE). Angriparna som tros vara en nationalstatsgrupp, utnyttjade två nolldagssårbarheter i Ivanti Connect Secure-apparater med start i januari 2024. Genom omfattande undersökningar har experter bekräftat att angriparna distribuerat ett Perl-baserat webbskal vid namn ROOTROT för att få första åtkomst .

ROOTROT gömdes i en legitim Connect Secure .ttc-fil som finns på '/data/runtime/tmp/tt/setcookie.thtml.ttc' och tillskrivs ett cyberspionagekluster med kopplingar till Kina, känt som UNC5221. Samma grupp av hackare har associerats med andra webbskal, inklusive BUSHWALK, CHAINLINE, FRAMESTING och LIGHTWIRE.

Infektionen följde på utnyttjandet av två sårbarheter

Attacken involverade att utnyttja CVE-2023-46805 och CVE-2024-21887, vilket gjorde det möjligt för hotaktörer att kringgå autentisering och exekvera godtyckliga kommandon på det komprometterade systemet.

När den första åtkomsten erhölls fortsatte hotaktörerna att röra sig i sidled och infiltrera VMware-infrastrukturen med hjälp av ett inträngt administratörskonto. Detta brott underlättade utplaceringen av bakdörrar och webbskal för uthållighet och referensskörd.

NERVE är ett oklassificerat samarbetsnätverk som erbjuder lagrings-, dator- och nätverksresurser. Angriparna misstänks ha genomfört spaning på intrångade nätverk, utnyttjat ett av de virtuella privata nätverken (VPN) med hjälp av Ivanti Connect Secure noll-dagars sårbarheter och kringgått multifaktorautentisering genom sessionskapning.

Efter att ha distribuerat ROOTROT-webbskalet analyserade hotaktören NERVE-miljön och initierade kommunikation med flera ESXi-värdar och fick kontroll över MITREs VMware-infrastruktur. De introducerade sedan en Golang-bakdörr som heter BRICKSTORM och ett hemligt webbskal som heter BEEFLUSH. BRICKSTORM är en Go-baserad bakdörr designad för att rikta in sig på VMware vCenter-servrar. Den kan konfigurera sig själv som en webbserver, manipulera filsystem och kataloger, utföra filoperationer som att ladda upp och ladda ner, utföra skalkommandon och underlätta SOCKS-relä.

Dessa steg säkerställde kontinuerlig åtkomst, vilket gjorde det möjligt för motståndaren att utföra godtyckliga kommandon och kommunicera med kommando-och-kontrollservrar. Motståndaren använde SSH-manipulation och körde misstänkta skript för att behålla kontrollen över de komprometterade systemen.

Ytterligare hotande verktyg som används vid sidan av ROOTROT

Ytterligare analys har avslöjat att hotaktören distribuerade ett annat webbskal kallat WIREFIRE (även känt som GIFTEDVISITOR) en dag efter offentliggörandet av de dubbla sårbarheterna den 11 januari 2024. Denna utplacering syftade till att möjliggöra hemlig kommunikation och dataexfiltrering.

Förutom att använda BUSHWALK-webbskalet för att överföra data från NERVE-nätverket till deras Command-and-Control-infrastruktur, gjorde motståndaren enligt uppgift försök att röra sig i sidled och upprätthålla uthållighet inom NERVE från februari till mitten av mars 2024.

Under sina aktiviteter utförde angriparna ett ping-kommando riktat mot en av MITREs företagsdomänkontrollanter och försökte röra sig i sidled till MITER-system, även om dessa försök till slut misslyckades.