ROOTROT 恶意软件

网络攻击者最近将目标锁定在了 MITRE 的网络实验、研究和虚拟化环境 (NERVE) 网络。据信，攻击者是一个民族国家组织，从 2024 年 1 月开始利用 Ivanti Connect Secure 设备中的两个零日漏洞。通过广泛调查，专家证实攻击者部署了一个名为 ROOTROT 的基于 Perl 的 Web shell 来获取初始访问权限。

ROOTROT 隐藏在位于“/data/runtime/tmp/tt/setcookie.thtml.ttc”的合法 Connect Secure .ttc 文件中，并归属于与中国有联系的网络间谍团伙 UNC5221。该黑客团伙还与其他 Web shell 有关，包括 BUSHWALK、CHAINLINE、FRAMESTING 和 LIGHTWIRE。

感染是在利用两个漏洞之后发生的

此次攻击利用了 CVE-2023-46805 和 CVE-2024-21887，使威胁行为者能够绕过身份验证并在受感染的系统上执行任意命令。

获得初始访问权限后，威胁行为者便开始横向移动，并使用被盗管理员帐户渗透 VMware 基础架构。此漏洞有助于部署后门和 Web Shell，以实现持久性和凭证收集。

NERVE 是一个非机密的协作网络，提供存储、计算和网络资源。攻击者涉嫌对被攻破的网络进行侦察，利用 Ivanti Connect Secure 零日漏洞利用虚拟专用网络 (VPN) 之一，并通过会话劫持绕过多因素身份验证。

部署 ROOTROT Web shell 后，威胁行为者分析了 NERVE 环境并发起与多个 ESXi 主机的通信，从而控制了 MITRE 的 VMware 基础架构。然后，他们引入了一个名为 BRICKSTORM 的 Golang 后门和一个名为 BEEFLUSH 的未公开 Web shell。BRICKSTORM 是一个基于 Go 的后门，旨在针对 VMware vCenter 服务器。它能够将自己配置为 Web 服务器，操纵文件系统和目录，执行上传和下载等文件操作，执行 shell 命令，并促进 SOCKS 中继。

这些步骤确保了持续访问，使攻击者能够执行任意命令并与命令和控制服务器通信。攻击者使用 SSH 操纵并运行可疑脚本来保持对受感染系统的控制。

与 ROOTROT 一起使用的其他威胁工具

进一步分析发现，在 2024 年 1 月 11 日公开披露这两个漏洞的第二天，威胁行为者又部署了另一个名为 WIREFIRE（也称为 GIFTEDVISITOR）的 Web shell，旨在实现隐蔽通信和数据泄露。

据报道，除了使用 BUSHWALK Web Shell 将数据从 NERVE 网络传输到他们的命令和控制基础设施之外，对手还试图在 2024 年 2 月至 3 月中旬期间横向移动并在 NERVE 内保持持久性。

在活动期间，攻击者执行了针对 MITRE 的一个企业域控制器的 ping 命令，并试图横向进入 MITRE 系统，但这些尝试最终没有成功。