Złośliwe oprogramowanie ROOTROT

Cyberprzestępcy zaatakowali ostatnio sieci Networked Experimentation, Research i Virtualization Environment (NERVE) firmy MITRE. Napastnicy uważani za grupę państw narodowych wykorzystali dwie luki dnia zerowego w urządzeniach Ivanti Connect Secure począwszy od stycznia 2024 r. W wyniku szeroko zakrojonego dochodzenia eksperci potwierdzili, że napastnicy wdrożyli powłokę internetową opartą na języku Perl o nazwie ROOTROT, aby uzyskać początkowy dostęp .

ROOTROT był ukryty w legalnym pliku Connect Secure .ttc znajdującym się pod adresem „/data/runtime/tmp/tt/setcookie.thtml.ttc” i przypisywany jest klasterowi cyberszpiegowskiemu powiązanemu z Chinami, znanemu jako UNC5221. Ta sama grupa hakerów jest powiązana z innymi powłokami internetowymi, w tym BUSHWALK, CHAINLINE, FRAMESTING i LIGHTWIRE.

Infekcja nastąpiła po wykorzystaniu dwóch luk w zabezpieczeniach

Atak polegał na wykorzystaniu CVE-2023-46805 i CVE-2024-21887, umożliwiając cyberprzestępcom obejście uwierzytelnienia i wykonanie dowolnych poleceń w zaatakowanym systemie.

Po uzyskaniu wstępnego dostępu cyberprzestępcy zaczęli przemieszczać się na boki i infiltrować infrastrukturę VMware, korzystając ze zhakowanego konta administratora. Naruszenie to ułatwiło wdrożenie backdoorów i powłok internetowych w celu utrwalania i gromadzenia danych uwierzytelniających.

NERVE to niesklasyfikowana sieć współpracy oferująca zasoby pamięci masowej, obliczeniowej i sieciowe. Podejrzewa się, że napastnicy przeprowadzili rekonesans w naruszonych sieciach, wykorzystali jedną z wirtualnych sieci prywatnych (VPN) przy użyciu luk typu zero-day w Ivanti Connect Secure oraz obeszli uwierzytelnianie wieloskładnikowe poprzez przejmowanie sesji.

Po wdrożeniu powłoki internetowej ROOTROT ugrupowanie zagrażające przeanalizowało środowisko NERVE i zainicjowało komunikację z kilkoma hostami ESXi, uzyskując kontrolę nad infrastrukturą VMware firmy MITRE. Następnie wprowadzili backdoora Golang o nazwie BRICKSTORM i nieujawnioną powłokę internetową o nazwie BEEFLUSH. BRICKSTORM to backdoor oparty na Go, zaprojektowany z myślą o serwerach VMware vCenter. Jest w stanie skonfigurować się jako serwer WWW, manipulować systemami plików i katalogami, przeprowadzać operacje na plikach, takie jak przesyłanie i pobieranie, wykonywać polecenia powłoki i ułatwiać przekazywanie SOCKS.

Kroki te zapewniały ciągły dostęp, umożliwiając przeciwnikowi wykonywanie dowolnych poleceń i komunikację z serwerami dowodzenia i kontroli. Przeciwnik wykorzystywał manipulację SSH i uruchamiał podejrzane skrypty, aby zachować kontrolę nad zaatakowanymi systemami.

Dodatkowe groźne narzędzia używane razem z ROOTROT

Dalsza analiza wykazała, że podmiot zagrażający wdrożył kolejną powłokę internetową o nazwie WIREFIRE (znaną również jako GIFTEDVISITOR) dzień po publicznym ujawnieniu podwójnych luk w zabezpieczeniach 11 stycznia 2024 r. Celem tego wdrożenia było umożliwienie tajnej komunikacji i eksfiltracji danych.

Oprócz wykorzystywania powłoki sieciowej BUSHWALK do przesyłania danych z sieci NERVE do infrastruktury dowodzenia i kontroli, przeciwnik według doniesień podejmował próby przemieszczania się w bok i utrzymywania trwałości w obrębie NERVE od lutego do połowy marca 2024 r.

Podczas swoich działań napastnicy wykonali polecenie ping skierowane do jednego z kontrolerów domeny korporacyjnej MITRE i próbowali przedostać się bocznie do systemów MITRE, jednak próby te ostatecznie zakończyły się niepowodzeniem.