ROOTROT Malware

Cyberangribere har for nylig angrebet MITREs netværk for netværkseksperimentering, forskning og virtualiseringsmiljø (NERVE). Angriberne, der menes at være en nationalstatsgruppe, udnyttede to nul-dages sårbarheder i Ivanti Connect Secure-apparater, der startede i januar 2024. Gennem omfattende undersøgelser har eksperter bekræftet, at angriberne implementerede en Perl-baseret web-shell ved navn ROOTROT for at få indledende adgang .

ROOTROT blev skjult i en legitim Connect Secure .ttc-fil placeret på '/data/runtime/tmp/tt/setcookie.thtml.ttc' og er tilskrevet en cyberspionageklynge med bånd til Kina kendt som UNC5221. Den samme gruppe af hackere er blevet forbundet med andre web-skaller, herunder BUSHWALK, CHAINLINE, FRAMESTING og LIGHTWIRE.

Infektionen fulgte udnyttelsen af to sårbarheder

Angrebet involverede udnyttelse af CVE-2023-46805 og CVE-2024-21887, hvilket gjorde det muligt for trusselsaktører at omgå autentificering og udføre vilkårlige kommandoer på det kompromitterede system.

Når den første adgang var opnået, fortsatte trusselsaktørerne med at bevæge sig sideværts og infiltrere VMware-infrastrukturen ved hjælp af en kompromitteret administratorkonto. Dette brud lettede udrulningen af bagdøre og web-skaller til vedholdenhed og indsamling af legitimationsoplysninger.

NERVE er et uklassificeret samarbejdsnetværk, der tilbyder lager-, computer- og netværksressourcer. Angriberne mistænkes for at have udført rekognoscering på brudte netværk, udnyttet et af de virtuelle private netværk (VPN'er) ved hjælp af Ivanti Connect Secure zero-day sårbarheder og omgået multi-faktor autentificering gennem sessionskapring.

Efter at have installeret ROOTROT-webskallen analyserede trusselsaktøren NERVE-miljøet og indledte kommunikation med flere ESXi-værter, hvorved han fik kontrol over MITREs VMware-infrastruktur. De introducerede derefter en Golang-bagdør ved navn BRICKSTORM og en skjult web-skal ved navn BEEFLUSH. BRICKSTORM er en Go-baseret bagdør designet til at målrette mod VMware vCenter-servere. Den er i stand til at konfigurere sig selv som en webserver, manipulere filsystemer og mapper, udføre filoperationer som at uploade og downloade, udføre shell-kommandoer og lette SOCKS-relæ.

Disse trin sikrede kontinuerlig adgang, hvilket gjorde det muligt for modstanderen at udføre vilkårlige kommandoer og kommunikere med kommando-og-kontrol-servere. Modstanderen brugte SSH-manipulation og kørte mistænkelige scripts for at bevare kontrollen over de kompromitterede systemer.

Yderligere truende værktøjer, der bruges sammen med ROOTROT

Yderligere analyse har afsløret, at trusselsaktøren indsatte en anden web-shell kaldet WIREFIRE (også kendt som GIFTEDVISITOR) en dag efter den offentlige offentliggørelse af de dobbelte sårbarheder den 11. januar 2024. Denne udrulning havde til formål at muliggøre skjult kommunikation og dataeksfiltrering.

Ud over at bruge BUSHWALK-webskallen til at overføre data fra NERVE-netværket til deres Command-and-Control-infrastruktur, forsøgte modstanderen efter sigende at bevæge sig sideværts og opretholde vedholdenhed i NERVE fra februar til midten af marts 2024.

Under deres aktiviteter udførte angriberne en ping-kommando rettet mod en af MITREs virksomhedsdomænecontrollere og forsøgte at bevæge sig sideværts ind i MITER-systemer, selvom disse forsøg i sidste ende var mislykkede.