ROOTROT-malware

Cyberaanvallers hebben zich onlangs gericht op de Networked Experimentation, Research, and Virtualization Environment (NERVE)-netwerken van MITRE. De aanvallers, vermoedelijk een natiestatengroep, maakten vanaf januari 2024 misbruik van twee zero-day-kwetsbaarheden in Ivanti Connect Secure-apparaten. Door uitgebreid onderzoek hebben experts bevestigd dat de aanvallers een op Perl gebaseerde webshell met de naam ROOTROT hebben ingezet om initiële toegang te krijgen. .

ROOTROT was verborgen in een legitiem Connect Secure .ttc-bestand op '/data/runtime/tmp/tt/setcookie.thtml.ttc' en wordt toegeschreven aan een cyberspionagecluster met banden met China, bekend als UNC5221. Dezelfde groep hackers is in verband gebracht met andere webshells, waaronder BUSHWALK, CHAINLINE, FRAMESTING en LIGHTWIRE.

De infectie volgde op de exploitatie van twee kwetsbaarheden

Bij de aanval werd misbruik gemaakt van CVE-2023-46805 en CVE-2024-21887, waardoor bedreigingsactoren de authenticatie konden omzeilen en willekeurige opdrachten op het gecompromitteerde systeem konden uitvoeren.

Nadat de initiële toegang was verkregen, gingen de bedreigingsactoren lateraal verder en infiltreerden de VMware-infrastructuur met behulp van een gecompromitteerd beheerdersaccount. Deze inbreuk vergemakkelijkte de inzet van backdoors en webshells voor persistentie en het verzamelen van inloggegevens.

NERVE is een niet-geclassificeerd samenwerkingsnetwerk dat opslag-, computer- en netwerkbronnen biedt. De aanvallers worden ervan verdacht verkenningen te hebben uitgevoerd op geschonden netwerken, een van de Virtual Private Networks (VPN's) te hebben uitgebuit met behulp van de Ivanti Connect Secure zero-day kwetsbaarheden en multi-factor authenticatie te hebben omzeild door sessie-kaping.

Na het inzetten van de ROOTROT Web-shell analyseerde de bedreigingsacteur de NERVE-omgeving en startte de communicatie met verschillende ESXi-hosts, waardoor hij controle kreeg over de VMware-infrastructuur van MITRE. Vervolgens introduceerden ze een Golang-achterdeur genaamd BRICKSTORM en een geheime webshell genaamd BEEFLUSH. BRICKSTORM is een op Go gebaseerde achterdeur die is ontworpen om zich te richten op VMware vCenter-servers. Het is in staat zichzelf te configureren als een webserver, bestandssystemen en mappen te manipuleren, bestandsbewerkingen uit te voeren zoals uploaden en downloaden, shell-opdrachten uit te voeren en SOCKS-relaying te vergemakkelijken.

Deze stappen zorgden voor continue toegang, waardoor de tegenstander willekeurige opdrachten kon uitvoeren en kon communiceren met command-and-control-servers. De tegenstander maakte gebruik van SSH-manipulatie en voerde verdachte scripts uit om de controle over de gecompromitteerde systemen te behouden.

Naast ROOTROT worden aanvullende bedreigingsinstrumenten gebruikt

Uit verdere analyse is gebleken dat de bedreigingsacteur een dag na de publieke bekendmaking van de dubbele kwetsbaarheden op 11 januari 2024 een andere webshell heeft ingezet, genaamd WIREFIRE (ook bekend als GIFTEDVISITOR). Deze inzet was gericht op het mogelijk maken van geheime communicatie en gegevensexfiltratie.

Naast het gebruik van de BUSHWALK-webshell om gegevens van het NERVE-netwerk naar hun Command-and-Control-infrastructuur te verzenden, heeft de tegenstander naar verluidt van februari tot half maart 2024 pogingen ondernomen om zijwaarts te bewegen en de persistentie binnen NERVE te behouden.

Tijdens hun activiteiten voerden de aanvallers een ping-commando uit gericht op een van de bedrijfsdomeincontrollers van MITRE en probeerden lateraal naar MITRE-systemen te gaan, hoewel deze pogingen uiteindelijk niet succesvol waren.