ROOTROT skadelig programvare

Cyberangripere har nylig målrettet MITREs nettverk for nettverkseksperimentering, forskning og virtualiseringsmiljø (NERVE). Angriperne som antas å være en nasjonalstatsgruppe, utnyttet to nulldagssårbarheter i Ivanti Connect Secure-enheter som startet i januar 2024. Gjennom omfattende etterforskning har eksperter bekreftet at angriperne distribuerte et Perl-basert nettskall kalt ROOTROT for å få første tilgang .

ROOTROT ble skjult i en legitim Connect Secure .ttc-fil som ligger på '/data/runtime/tmp/tt/setcookie.thtml.ttc' og er tilskrevet en cyberspionasjeklynge med bånd til Kina kjent som UNC5221. Den samme gruppen av hackere har blitt assosiert med andre web-skjell, inkludert BUSHWALK, CHAINLINE, FRAMESTING og LIGHTWIRE.

Infeksjonen fulgte utnyttelsen av to sårbarheter

Angrepet innebar å utnytte CVE-2023-46805 og CVE-2024-21887, noe som gjorde det mulig for trusselaktører å omgå autentisering og utføre vilkårlige kommandoer på det kompromitterte systemet.

Når den første tilgangen ble oppnådd, fortsatte trusselaktørene å bevege seg sideveis og infiltrere VMware-infrastrukturen ved å bruke en kompromittert administratorkonto. Dette bruddet lettet utplasseringen av bakdører og nettskall for utholdenhet og innhenting av legitimasjon.

NERVE er et uklassifisert samarbeidsnettverk som tilbyr lagrings-, databehandlings- og nettverksressurser. Angriperne er mistenkt for å ha utført rekognosering på nettverk som brytes, utnyttet et av de virtuelle private nettverkene (VPN) ved å bruke Ivanti Connect Secure zero-day sårbarheter og omgå multifaktorautentisering gjennom øktkapring.

Etter å ha distribuert ROOTROT Web-skallet, analyserte trusselaktøren NERVE-miljøet og initierte kommunikasjon med flere ESXi-verter, og fikk kontroll over MITREs VMware-infrastruktur. De introduserte deretter en Golang-bakdør kalt BRICKSTORM og et ikke avslørt web-skall kalt BEEFLUSH. BRICKSTORM er en Go-basert bakdør designet for å målrette mot VMware vCenter-servere. Den er i stand til å konfigurere seg selv som en webserver, manipulere filsystemer og kataloger, utføre filoperasjoner som opplasting og nedlasting, utføre shell-kommandoer og lette SOCKS relaying.

Disse trinnene sikret kontinuerlig tilgang, og gjorde det mulig for motstanderen å utføre vilkårlige kommandoer og kommunisere med kommando-og-kontroll-servere. Motstanderen brukte SSH-manipulasjon og kjørte mistenkelige skript for å beholde kontrollen over de kompromitterte systemene.

Ytterligere truende verktøy som brukes sammen med ROOTROT

Ytterligere analyse har avslørt at trusselaktøren distribuerte et annet web-skall kalt WIREFIRE (også kjent som GIFTEDVISITOR) en dag etter offentlig avsløring av de doble sårbarhetene 11. januar 2024. Denne utplasseringen var rettet mot å muliggjøre skjult kommunikasjon og dataeksfiltrering.

I tillegg til å bruke BUSHWALK-nettskallet for å overføre data fra NERVE-nettverket til deres Command-and-Control-infrastruktur, skal motstanderen ha gjort forsøk på å bevege seg sideveis og opprettholde utholdenhet i NERVE fra februar til midten av mars 2024.

Under sine aktiviteter utførte angriperne en ping-kommando rettet mot en av MITREs bedriftsdomenekontrollere og prøvde å bevege seg sideveis inn i MITER-systemer, selv om disse forsøkene til slutt var mislykkede.