មេរោគ ROOTROT

ថ្មីៗនេះ អ្នកវាយប្រហារតាមអ៊ីនធឺណិតបានកំណត់គោលដៅលើបណ្តាញ Networked Experimentation, Research, and Virtualization Environment (NERVE) របស់ MITRE។ អ្នកវាយប្រហារដែលគេជឿថាជាក្រុមរដ្ឋមួយបានទាញយកភាពងាយរងគ្រោះសូន្យថ្ងៃចំនួនពីរនៅក្នុងឧបករណ៍សុវត្ថិភាព Ivanti Connect ចាប់ពីខែមករា ឆ្នាំ 2024។ តាមរយៈការស៊ើបអង្កេតយ៉ាងទូលំទូលាយ អ្នកជំនាញបានបញ្ជាក់ថាអ្នកវាយប្រហារបានប្រើប្រាស់សែលគេហទំព័រដែលមានមូលដ្ឋានលើ Perl ដែលមានឈ្មោះថា ROOTROT ដើម្បីទទួលបានការចូលដំណើរការដំបូង។ .

ROOTROT ត្រូវបានលាក់នៅក្នុងឯកសារ Connect Secure .ttc ស្របច្បាប់ដែលមានទីតាំងនៅ '/data/runtime/tmp/tt/setcookie.thtml.ttc' ហើយត្រូវបានសន្មតថាជាក្រុមចារកម្មតាមអ៊ីនធឺណិតដែលមានទំនាក់ទំនងជាមួយប្រទេសចិនដែលគេស្គាល់ថា UNC5221។ ក្រុម Hacker ដូចគ្នានេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងសែលគេហទំព័រផ្សេងទៀត រួមមាន BUSHWALK, CHAINLINE, FRAMESTING និង LIGHTWIRE ។

ការឆ្លងបានធ្វើតាមការកេងប្រវ័ញ្ចនៃភាពងាយរងគ្រោះចំនួនពីរ

ការវាយប្រហារនេះពាក់ព័ន្ធនឹងការកេងប្រវ័ញ្ច CVE-2023-46805 និង CVE-2024-21887 ដែលអាចឱ្យតួអង្គគម្រាមកំហែងជៀសផុតពីការផ្ទៀងផ្ទាត់ និងប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្តលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

នៅពេលដែលទទួលបានការចូលដំណើរការដំបូង តួអង្គគំរាមកំហែងបានបន្តផ្លាស់ទីនៅពេលក្រោយ និងជ្រៀតចូលហេដ្ឋារចនាសម្ព័ន្ធ VMware ដោយប្រើគណនីអ្នកគ្រប់គ្រងដែលត្រូវបានសម្របសម្រួល។ ការបំពាននេះបានជួយសម្រួលដល់ការដាក់ពង្រាយ backdoors និង web shells សម្រាប់ការបន្ត និងការប្រមូលផលដែលទទួលស្គាល់។

NERVE គឺជាបណ្តាញសហការដែលមិនបានចាត់ថ្នាក់ដែលផ្តល់នូវការផ្ទុក កុំព្យូទ័រ និងធនធានបណ្តាញ។ អ្នកវាយប្រហារត្រូវបានគេសង្ស័យថាបានធ្វើការឈ្លបយកការណ៍លើបណ្តាញដែលរំលោភបំពាន កេងប្រវ័ញ្ចបណ្តាញឯកជននិម្មិត (VPNs) មួយ ដោយប្រើ Ivanti Connect Secure zero-day vulnerabilities និងជៀសវាងការផ្ទៀងផ្ទាត់ពហុកត្តាតាមរយៈការលួចចូលវគ្គ។

បន្ទាប់ពីដាក់ពង្រាយ ROOTROT Web shell តួអង្គគំរាមកំហែងបានវិភាគបរិស្ថាន NERVE និងចាប់ផ្តើមទំនាក់ទំនងជាមួយម៉ាស៊ីន ESXi ជាច្រើន ដោយទទួលបានការគ្រប់គ្រងលើហេដ្ឋារចនាសម្ព័ន្ធ VMware របស់ MITRE ។ បន្ទាប់មកពួកគេបានណែនាំ Golang backdoor ដែលមានឈ្មោះថា BRICKSTORM និងសំបកគេហទំព័រដែលមិនបានបង្ហាញឈ្មោះ BEEFLUSH ។ BRICKSTORM គឺជា Backdoor ដែលមានមូលដ្ឋានលើ Go ដែលត្រូវបានរចនាឡើងដើម្បីកំណត់គោលដៅម៉ាស៊ីនមេ VMware vCenter ។ វាមានសមត្ថភាពកំណត់រចនាសម្ព័ន្ធខ្លួនវាជាម៉ាស៊ីនមេគេហទំព័រ រៀបចំប្រព័ន្ធឯកសារ និងថតឯកសារ ប្រតិបត្តិការឯកសារដូចជាការបង្ហោះ និងការទាញយក ប្រតិបត្តិពាក្យបញ្ជាសែល និងសម្របសម្រួលការបញ្ជូនត SOCKS ។

ជំហានទាំងនេះធានាបាននូវការចូលដំណើរការជាបន្តបន្ទាប់ ដែលអនុញ្ញាតឱ្យមារសត្រូវប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត និងទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងបញ្ជា។ មារសត្រូវប្រើការចាត់ចែង SSH និងដំណើរការស្គ្រីបគួរឱ្យសង្ស័យ ដើម្បីរក្សាការគ្រប់គ្រងលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

ឧបករណ៍គំរាមកំហែងបន្ថែមដែលប្រើជាមួយ ROOTROT

ការវិភាគបន្ថែមបានបង្ហាញថា តួអង្គគំរាមកំហែងបានដាក់ពង្រាយ Web shell មួយទៀតហៅថា WIREFIRE (ហៅម្យ៉ាងទៀតថា GIFTEDVISITOR) មួយថ្ងៃបន្ទាប់ពីការលាតត្រដាងជាសាធារណៈអំពីភាពងាយរងគ្រោះពីរនៅថ្ងៃទី 11 ខែមករា ឆ្នាំ 2024។ ការដាក់ពង្រាយនេះមានគោលបំណងបើកការទំនាក់ទំនងសម្ងាត់ និងការដកទិន្នន័យចេញ។

បន្ថែមពីលើការប្រើប្រាស់សែលបណ្តាញ BUSHWALK ដើម្បីបញ្ជូនទិន្នន័យពីបណ្តាញ NERVE ទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control របស់ពួកគេ មារសត្រូវត្រូវបានគេរាយការណ៍ថាបានព្យាយាមផ្លាស់ទីនៅពេលក្រោយ និងរក្សាការតស៊ូនៅក្នុង NERVE ចាប់ពីខែកុម្ភៈដល់ពាក់កណ្តាលខែមីនា ឆ្នាំ 2024។

ក្នុងអំឡុងពេលសកម្មភាពរបស់ពួកគេ អ្នកវាយប្រហារបានប្រតិបត្តិពាក្យបញ្ជា ping សំដៅទៅលើឧបករណ៍បញ្ជាដែនសាជីវកម្មមួយរបស់ MITRE ហើយព្យាយាមផ្លាស់ទីនៅពេលក្រោយចូលទៅក្នុងប្រព័ន្ធ MITER ទោះបីជាការប៉ុនប៉ងទាំងនេះមិនបានជោគជ័យក៏ដោយ។