มัลแวร์ ROOTROT

ผู้โจมตีทางไซเบอร์ได้กำหนดเป้าหมายเครือข่าย Networked Experimentation, Research และ Virtualization Environment (NERVE) ของ MITRE เมื่อเร็วๆ นี้ ผู้โจมตีเชื่อว่าเป็นกลุ่มรัฐชาติ โดยใช้ประโยชน์จากช่องโหว่แบบ Zero-day จำนวน 2 รายการในอุปกรณ์ Ivanti Connect Secure เริ่มตั้งแต่เดือนมกราคม 2567 ผ่านการสอบสวนอย่างครอบคลุม ผู้เชี่ยวชาญยืนยันว่าผู้โจมตีได้ปรับใช้ Web Shell ที่ใช้ Perl ชื่อ ROOTROT เพื่อให้ได้รับการเข้าถึงครั้งแรก .

ROOTROT ถูกซ่อนอยู่ในไฟล์ Connect Secure .ttc ที่ถูกต้องตามกฎหมาย ซึ่งอยู่ที่ '/data/runtime/tmp/tt/setcookie.thtml.ttc' และมีสาเหตุมาจากกลุ่มจารกรรมทางไซเบอร์ที่มีความเกี่ยวข้องกับจีนที่เรียกว่า UNC5221 แฮกเกอร์กลุ่มเดียวกันนี้มีความเชื่อมโยงกับ Web Shell อื่นๆ รวมถึง BUSHWALK, CHAINLINE, FRAMESTING และ LIGHTWIRE

การติดเชื้อดังกล่าวเกิดขึ้นหลังจากการใช้ประโยชน์จากช่องโหว่สองรายการ

การโจมตีเกี่ยวข้องกับการใช้ประโยชน์จาก CVE-2023-46805 และ CVE-2024-21887 ทำให้ผู้คุกคามสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์และดำเนินการคำสั่งตามอำเภอใจบนระบบที่ถูกบุกรุก

เมื่อได้รับการเข้าถึงครั้งแรก ผู้คุกคามจะดำเนินการย้ายด้านข้างและแทรกซึมโครงสร้างพื้นฐาน VMware โดยใช้บัญชีผู้ดูแลระบบที่ถูกบุกรุก การละเมิดนี้อำนวยความสะดวกในการปรับใช้แบ็คดอร์และเว็บเชลล์เพื่อการคงอยู่และการเก็บเกี่ยวข้อมูลรับรอง

NERVE คือเครือข่ายการทำงานร่วมกันที่ไม่จำแนกประเภทซึ่งมีทรัพยากรในการจัดเก็บข้อมูล คอมพิวเตอร์ และเครือข่าย ผู้โจมตีถูกสงสัยว่าได้ทำการลาดตระเวนบนเครือข่ายที่ถูกละเมิด ใช้ประโยชน์จากหนึ่งในเครือข่ายส่วนตัวเสมือน (VPN) โดยใช้ช่องโหว่แบบ Zero-day ของ Ivanti Connect Secure และหลบเลี่ยงการรับรองความถูกต้องแบบหลายปัจจัยผ่านการไฮแจ็กเซสชัน

หลังจากปรับใช้ ROOTROT Web Shell ผู้คุกคามจะวิเคราะห์สภาพแวดล้อม NERVE และเริ่มการสื่อสารกับโฮสต์ ESXi หลายรายการ และได้รับการควบคุมโครงสร้างพื้นฐาน VMware ของ MITRE จากนั้นพวกเขาได้แนะนำแบ็คดอร์ Golang ชื่อ BRICKSTORM และ Web Shell ที่ไม่เปิดเผยชื่อ BEEFLUSH BRICKSTORM เป็นแบ็คดอร์ Go-based ที่ออกแบบมาเพื่อกำหนดเป้าหมายเซิร์ฟเวอร์ VMware vCenter มีความสามารถในการกำหนดค่าตัวเองเป็นเว็บเซิร์ฟเวอร์ จัดการระบบไฟล์และไดเร็กทอรี ดำเนินการกับไฟล์ เช่น การอัพโหลดและดาวน์โหลด ดำเนินการคำสั่งเชลล์ และอำนวยความสะดวกในการถ่ายทอด SOCKS

ขั้นตอนเหล่านี้ทำให้มั่นใจได้ถึงการเข้าถึงอย่างต่อเนื่อง ช่วยให้ฝ่ายตรงข้ามสามารถรันคำสั่งที่กำหนดเองและสื่อสารกับเซิร์ฟเวอร์สั่งการและควบคุมได้ ฝ่ายตรงข้ามใช้การจัดการ SSH และเรียกใช้สคริปต์ที่น่าสงสัยเพื่อรักษาการควบคุมระบบที่ถูกบุกรุก

เครื่องมือคุกคามเพิ่มเติมที่ใช้ควบคู่กับ ROOTROT

การวิเคราะห์เพิ่มเติมเผยให้เห็นว่าผู้คุกคามได้ปรับใช้ Web Shell อื่นที่เรียกว่า WIREFIRE (หรือที่เรียกว่า GIFTEDVISITOR) หนึ่งวันหลังจากการเปิดเผยช่องโหว่แบบคู่ต่อสาธารณะในวันที่ 11 มกราคม 2024 การใช้งานนี้มีวัตถุประสงค์เพื่อเปิดใช้งานการสื่อสารแบบแอบแฝงและการขโมยข้อมูล

นอกเหนือจากการใช้เปลือกเว็บ BUSHWALK เพื่อส่งข้อมูลจากเครือข่าย NERVE ไปยังโครงสร้างพื้นฐาน Command-and-Control แล้ว มีรายงานว่าฝ่ายตรงข้ามได้พยายามที่จะเคลื่อนที่ไปทางด้านข้างและรักษาความคงอยู่ภายใน NERVE ตั้งแต่เดือนกุมภาพันธ์ถึงกลางเดือนมีนาคม 2024

ในระหว่างกิจกรรม ผู้โจมตีได้ดำเนินการคำสั่ง ping โดยกำหนดเป้าหมายไปที่หนึ่งในตัวควบคุมโดเมนองค์กรของ MITRE และพยายามย้ายเข้าสู่ระบบ MITER จากด้านข้าง แม้ว่าความพยายามเหล่านี้จะไม่ประสบความสำเร็จในท้ายที่สุดก็ตาม