ரூட்ரோட் மால்வேர்
சைபர் தாக்குபவர்கள் சமீபத்தில் MITRE இன் பிணைய பரிசோதனை, ஆராய்ச்சி மற்றும் மெய்நிகராக்க சூழல் (NERVE) நெட்வொர்க்குகளை குறிவைத்துள்ளனர். தேசிய-அரசு குழுவாக நம்பப்படும் தாக்குபவர்கள், ஜனவரி 2024 முதல் Ivanti Connect Secure உபகரணங்களில் இரண்டு பூஜ்ஜிய நாள் பாதிப்புகளைப் பயன்படுத்தினர். விரிவான விசாரணையின் மூலம், ஆரம்ப அணுகலைப் பெற ROOTROT என்ற பெர்ல்-அடிப்படையிலான வலை ஷெல்லைப் பயன்படுத்தியதாக நிபுணர்கள் உறுதிப்படுத்தியுள்ளனர். .
ROOTROT ஆனது '/data/runtime/tmp/tt/setcookie.thtml.ttc' இல் உள்ள முறையான Connect Secure .ttc கோப்பிற்குள் மறைத்து வைக்கப்பட்டது மற்றும் UNC5221 என அறியப்படும் சீனாவுடன் தொடர்புள்ள இணைய உளவுக் குழுவிற்குக் காரணம். இதே ஹேக்கர்கள் குழு BUSHWALK, CHAINLINE, FRAMESTING மற்றும் LIGHTWIRE உள்ளிட்ட பிற வலை ஷெல்களுடன் தொடர்புடையது.
இரண்டு பாதிப்புகளின் சுரண்டலைத் தொடர்ந்து தொற்று ஏற்பட்டது
இந்த தாக்குதலில் CVE-2023-46805 மற்றும் CVE-2024-21887 ஆகியவற்றைப் பயன்படுத்தி, அச்சுறுத்தல் நடிகர்கள் அங்கீகாரத்தைத் தவிர்க்கவும், சமரசம் செய்யப்பட்ட கணினியில் தன்னிச்சையான கட்டளைகளை இயக்கவும் உதவியது.
ஆரம்ப அணுகல் கிடைத்ததும், அச்சுறுத்தல் நடிகர்கள் பக்கவாட்டாக நகர்ந்து, சமரசம் செய்யப்பட்ட நிர்வாகி கணக்கைப் பயன்படுத்தி VMware உள்கட்டமைப்பில் ஊடுருவினர். இந்த மீறல் பின்கதவுகள் மற்றும் வலை ஓடுகளை நிலைநிறுத்துவதற்கும் நற்சான்றிதழ் அறுவடை செய்வதற்கும் எளிதாக்கியது.
NERVE என்பது ஒரு வகைப்படுத்தப்படாத கூட்டு நெட்வொர்க் ஆகும், இது சேமிப்பு, கணினி மற்றும் நெட்வொர்க்கிங் ஆதாரங்களை வழங்குகிறது. தாக்குபவர்கள் மீறப்பட்ட நெட்வொர்க்குகள் மீது உளவு பார்த்ததாக சந்தேகிக்கப்படுகிறது, Ivanti Connect Secure zero-day பாதிப்புகளைப் பயன்படுத்தி விர்ச்சுவல் பிரைவேட் நெட்வொர்க்குகளில் (VPNகள்) ஒன்றைப் பயன்படுத்தினர் மற்றும் அமர்வு கடத்தல் மூலம் பல காரணி அங்கீகாரத்தைத் தவிர்த்துவிட்டனர்.
ROOTROT வலை ஷெல் பயன்படுத்திய பிறகு, அச்சுறுத்தல் நடிகர் நரம்பு சூழலை பகுப்பாய்வு செய்தார் மற்றும் பல ESXi ஹோஸ்ட்களுடன் தொடர்பைத் தொடங்கினார், MITRE இன் VMware உள்கட்டமைப்பின் மீது கட்டுப்பாட்டைப் பெற்றார். பின்னர் அவர்கள் BRICKSTORM என்ற பெயருடைய Golang பின்கதவையும் BEEFLUSH என்ற பெயரிடப்படாத வலை ஷெல்லையும் அறிமுகப்படுத்தினர். BRICKSTORM என்பது VMware vCenter சேவையகங்களைக் குறிவைக்க வடிவமைக்கப்பட்ட கோ அடிப்படையிலான பின்கதவு ஆகும். இது தன்னை ஒரு இணைய சேவையகமாக கட்டமைக்கும் திறன் கொண்டது, கோப்பு முறைமைகள் மற்றும் கோப்பகங்களை கையாளுதல், பதிவேற்றுதல் மற்றும் பதிவிறக்குதல் போன்ற கோப்பு செயல்பாடுகளை நடத்துதல், ஷெல் கட்டளைகளை செயல்படுத்துதல் மற்றும் SOCKS ரிலேயை எளிதாக்குதல்.
இந்த படிநிலைகள் தொடர்ச்சியான அணுகலை உறுதிசெய்தது, எதிரி தன்னிச்சையான கட்டளைகளை செயல்படுத்தவும் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகங்களுடன் தொடர்பு கொள்ளவும் உதவுகிறது. எதிரி SSH கையாளுதலைப் பயன்படுத்தினார் மற்றும் சமரசம் செய்யப்பட்ட அமைப்புகளின் மீதான கட்டுப்பாட்டைத் தக்க வைத்துக் கொள்ள சந்தேகத்திற்கிடமான ஸ்கிரிப்ட்களை இயக்கினார்.
ROOTROT உடன் பயன்படுத்தப்படும் கூடுதல் அச்சுறுத்தும் கருவிகள்
ஜனவரி 11, 2024 அன்று இரட்டை பாதிப்புகள் பகிரங்கமாக வெளியிடப்பட்ட ஒரு நாளுக்குப் பிறகு, அச்சுறுத்தல் நடிகர் WIREFIRE (GIFTEDVISITOR என்றும் அழைக்கப்படுகிறது) எனப்படும் மற்றொரு வலை ஷெல்லை பயன்படுத்தியதாக மேலும் பகுப்பாய்வு வெளிப்படுத்தியுள்ளது. இந்த வரிசைப்படுத்தல் இரகசிய தகவல்தொடர்பு மற்றும் தரவு வெளியேற்றத்தை செயல்படுத்துவதை நோக்கமாகக் கொண்டது.
NERVE நெட்வொர்க்கிலிருந்து தங்கள் கட்டளை மற்றும் கட்டுப்பாட்டு உள்கட்டமைப்புக்கு தரவை அனுப்ப புஷ்வாக் வெப் ஷெல்லைப் பயன்படுத்துவதைத் தவிர, எதிரி பக்கவாட்டாக நகர்த்தவும், பிப்ரவரி முதல் மார்ச் 2024 வரை NERVE க்குள் நிலைத்தன்மையை பராமரிக்கவும் முயற்சித்ததாகக் கூறப்படுகிறது.
அவர்களின் செயல்பாடுகளின் போது, தாக்குபவர்கள் MITRE இன் கார்ப்பரேட் டொமைன் கன்ட்ரோலர்களில் ஒன்றைக் குறிவைத்து ஒரு பிங் கட்டளையைச் செயல்படுத்தினர் மற்றும் MITER அமைப்புகளுக்கு பக்கவாட்டாக செல்ல முயன்றனர், இருப்பினும் இந்த முயற்சிகள் இறுதியில் தோல்வியடைந்தன.
