ROOTROT Malware

Kybernetičtí útočníci se nedávno zaměřili na sítě MITRE Networked Experimentation, Research and Virtualization Environment (NERVE). Útočníci se domnívali, že jde o skupinu národního státu, která od ledna 2024 zneužila dvě zranitelnosti zařízení Ivanti Connect Secure od ledna 2024. Na základě rozsáhlého vyšetřování odborníci potvrdili, že útočníci nasadili webový shell založený na Perlu s názvem ROOTROT, aby získali počáteční přístup. .

ROOTROT byl ukryt v legitimním souboru Connect Secure .ttc umístěném na '/data/runtime/tmp/tt/setcookie.thtml.ttc' a je připisován clusteru kybernetické špionáže s vazbami na Čínu známému jako UNC5221. Stejná skupina hackerů byla spojena s jinými webovými shelly, včetně BUSHWALK, CHAINLINE, FRAMESTING a LIGHTWIRE.

Infekce následovala po zneužití dvou zranitelností

Útok zahrnoval zneužití CVE-2023-46805 a CVE-2024-21887, což umožnilo aktérům hrozeb obejít ověřování a provádět libovolné příkazy na kompromitovaném systému.

Jakmile byl získán počáteční přístup, aktéři hrozby se přesunuli do strany a infiltrovali infrastrukturu VMware pomocí kompromitovaného účtu správce. Toto porušení usnadnilo rozmístění zadních vrátek a webových skořápek pro vytrvalost a získávání pověření.

NERVE je neklasifikovaná síť pro spolupráci, která nabízí úložné, výpočetní a síťové zdroje. Útočníci jsou podezřelí z toho, že provedli průzkum na narušených sítích, zneužili jednu z virtuálních privátních sítí (VPN) pomocí zranitelností Ivanti Connect Secure zero-day a obešli vícefaktorovou autentizaci prostřednictvím únosu relace.

Po nasazení webového shellu ROOTROT aktér hrozby analyzoval prostředí NERVE a zahájil komunikaci s několika hostiteli ESXi, čímž získal kontrolu nad infrastrukturou VMware MITRE. Poté představili zadní vrátka Golang s názvem BRICKSTORM a nezveřejněný webový shell s názvem BEEFLUSH. BRICKSTORM je backdoor na bázi Go navržený tak, aby cílil na servery VMware vCenter. Je schopen konfigurovat se jako webový server, manipulovat se systémy souborů a adresáři, provádět operace se soubory, jako je nahrávání a stahování, spouštění příkazů shellu a usnadňování přenosu SOCKS.

Tyto kroky zajistily nepřetržitý přístup a umožnily protivníkovi provádět libovolné příkazy a komunikovat s příkazovými a řídícími servery. Protivník použil SSH manipulaci a spustil podezřelé skripty, aby si udržel kontrolu nad napadenými systémy.

Vedle ROOTROTu se používají další nástroje pro vyhrožování

Další analýza odhalila, že aktér hrozby nasadil další webový shell nazvaný WIREFIRE (také známý jako GIFTEDVISITOR) den po veřejném odhalení duálních zranitelností dne 11. ledna 2024. Cílem tohoto nasazení bylo umožnit skrytou komunikaci a exfiltraci dat.

Kromě použití webového shellu BUSHWALK k přenosu dat ze sítě NERVE do jejich infrastruktury velení a řízení se protivník údajně pokoušel pohybovat se laterálně a udržovat vytrvalost v NERVE od února do poloviny března 2024.

Během svých aktivit provedli útočníci příkaz ping zaměřený na jeden z korporátních doménových řadičů MITRE a pokusili se přejít laterálně do systémů MITER, i když tyto pokusy byly nakonec neúspěšné.