ROOTROT Kötü Amaçlı Yazılım

Siber saldırganlar yakın zamanda MITRE'nin Ağa Bağlı Deney, Araştırma ve Sanallaştırma Ortamı (NERVE) ağlarını hedef aldı. Bir ulus-devlet grubu olduğuna inanılan saldırganlar, Ocak 2024'ten itibaren Ivanti Connect Secure cihazlarındaki iki sıfır gün güvenlik açığından yararlandı. Uzmanlar, kapsamlı incelemeler sonucunda saldırganların ilk erişim elde etmek için ROOTROT adlı Perl tabanlı bir web kabuğu kullandığını doğruladı. .

ROOTROT, '/data/runtime/tmp/tt/setcookie.thtml.ttc' adresinde bulunan meşru bir Connect Secure .ttc dosyası içinde gizlendi ve UNC5221 olarak bilinen Çin ile bağları olan bir siber casusluk kümesiyle ilişkilendirildi. Aynı hacker grubu BUSHWALK, CHAINLINE, FRAMESTING ve LIGHTWIRE gibi diğer Web kabuklarıyla da ilişkilendirilmiştir.

Enfeksiyon, İki Güvenlik Açığından Yararlanmanın Ardından Geldi

Saldırı, CVE-2023-46805 ve CVE-2024-21887'nin kötüye kullanılmasını içeriyordu; bu da tehdit aktörlerinin kimlik doğrulamayı atlatmasına ve ele geçirilen sistemde rastgele komutlar yürütmesine olanak tanıyordu.

İlk erişim elde edildikten sonra, tehdit aktörleri yanlara doğru hareket etti ve güvenliği ihlal edilmiş bir yönetici hesabı kullanarak VMware altyapısına sızmaya başladı. Bu ihlal, kalıcılık ve kimlik bilgileri toplama için arka kapıların ve web kabuklarının konuşlandırılmasını kolaylaştırdı.

NERVE, depolama, bilgi işlem ve ağ kaynakları sunan, sınıflandırılmamış, işbirliğine dayalı bir ağdır. Saldırganların, ihlal edilen ağlar üzerinde keşif gerçekleştirdiği, Ivanti Connect Secure sıfır gün güvenlik açıklarını kullanarak Sanal Özel Ağlardan (VPN'ler) birini kullandığı ve oturum ele geçirme yoluyla çok faktörlü kimlik doğrulamayı atlattığı düşünülüyor.

Tehdit aktörü, ROOTROT Web kabuğunu dağıttıktan sonra NERVE ortamını analiz etti ve çeşitli ESXi ana bilgisayarlarıyla iletişim başlatarak MITRE'nin VMware altyapısı üzerinde kontrolü ele geçirdi. Daha sonra BRICKSTORM adında bir Golang arka kapısını ve BEEFLUSH adında açıklanmayan bir Web kabuğunu tanıttılar. BRICKSTORM, VMware vCenter sunucularını hedeflemek için tasarlanmış Go tabanlı bir arka kapıdır. Kendisini bir web sunucusu olarak yapılandırma, dosya sistemlerini ve dizinleri değiştirme, yükleme ve indirme gibi dosya işlemlerini yürütme, kabuk komutlarını yürütme ve SOCKS geçişini kolaylaştırma yeteneğine sahiptir.

Bu adımlar, sürekli erişimi garantileyerek, saldırganın keyfi komutlar yürütmesine ve komuta ve kontrol sunucularıyla iletişim kurmasına olanak tanıdı. Düşman, ele geçirilen sistemler üzerindeki kontrolü sürdürmek için SSH manipülasyonunu kullandı ve şüpheli komut dosyaları çalıştırdı.

ROOTROT'un Yanında Kullanılan Ek Tehdit Araçları

Daha ayrıntılı analizler, tehdit aktörünün, ikili güvenlik açıklarının 11 Ocak 2024'te kamuya açıklanmasından bir gün sonra WIREFIRE (aynı zamanda GIFTEDVISITOR olarak da bilinir) adlı başka bir Web kabuğunu konuşlandırdığını ortaya çıkardı. Bu konuşlandırmanın amacı, gizli iletişimi ve veri sızıntısını mümkün kılmaktı.

NERVE ağından Komuta ve Kontrol altyapısına veri aktarmak için BUSHWALK web kabuğunu kullanmanın yanı sıra, düşmanın Şubat 2024'ten Mart 2024'ün ortasına kadar NERVE içinde yanal hareket etme ve kalıcılığı sürdürme girişimlerinde bulunduğu bildirildi.

Saldırganlar, faaliyetleri sırasında MITRE'nin kurumsal etki alanı denetleyicilerinden birini hedef alan bir ping komutu çalıştırarak MITRE sistemlerine yanal olarak girmeye çalıştı ancak bu girişimler sonuçta başarısızlıkla sonuçlandı.