ROOTROT 惡意軟體

網路攻擊者最近瞄準了 MITRE 的網路實驗、研究和虛擬化環境 (NERVE) 網路。據信攻擊者是一個民族國家組織，從2024 年1 月開始利用Ivanti Connect Secure 設備中的兩個零日漏洞。獲得初始存取權限。

ROOTROT 隱藏在位於「/data/runtime/tmp/tt/setcookie.thtml.ttc」的合法 Connect Secure .ttc 檔案中，歸因於與中國有聯繫的網路間諜叢集 UNC5221。該駭客組織也與其他 Web shell 相關，包括 BUSHWALK、CHAINLINE、FRAMESTING 和 LIGHTWIRE。

兩個漏洞被利用後發生感染

該攻擊涉及利用 CVE-2023-46805 和 CVE-2024-21887，使威脅參與者能夠繞過身份驗證並在受感染的系統上執行任意命令。

一旦獲得初始存取權限，威脅參與者就會繼續橫向移動並使用受感染的管理員帳戶滲透 VMware 基礎設施。這個漏洞促進了後門和 Web shell 的部署，以實現持久性和憑證收集。

NERVE 是一個非機密協作網絡，提供儲存、運算和網路資源。攻擊者涉嫌對被破壞的網路進行偵察，利用 Ivanti Connect Secure 零日漏洞利用虛擬私人網路 (VPN) 之一，並透過會話劫持規避多重身分驗證。

部署 ROOTROT Web shell 後，威脅參與者分析了 NERVE 環境並啟動了與多個 ESXi 主機的通信，從而獲得了對 MITRE 的 VMware 基礎架構的控制權。然後他們引入了一個名為 BRICKSTORM 的 Golang 後門和一個名為 BEEFLUSH 的未公開 Web shell。 BRICKSTORM 是一個基於 Go 的後門，旨在針對 VMware vCenter 伺服器。它能夠將自身配置為 Web 伺服器、操作檔案系統和目錄、執行上傳和下載等檔案操作、執行 shell 命令以及促進 SOCKS 中繼。

這些步驟確保了持續訪問，使對手能夠執行任意命令並與命令和控制伺服器進行通訊。攻擊者利用 SSH 操縱並執行可疑腳本來保留對受感染系統的控制。

與 ROOTROT 一起使用的其他威脅工具

進一步分析顯示，威脅行為者在2024 年1 月11 日公開揭露這兩個漏洞的第二天，部署了另一個名為WIREFIRE（也稱為GIFTEDVISITOR）的Web shell。和資料外洩。

據報道，除了使用 BUSHWALK Web shell 將資料從 NERVE 網路傳輸到其指揮和控制基礎設施之外，攻擊者還試圖在 2024 年 2 月至 3 月中旬在 NERVE 內橫向移動並保持持久性。

在活動期間，攻擊者針對 MITRE 的企業網域控制器之一執行了 ping 命令，並試圖橫向進入 MITRE 系統，但這些嘗試最終沒有成功。