Phần mềm độc hại ROOTROT

Những kẻ tấn công mạng gần đây đã nhắm mục tiêu vào các mạng Thử nghiệm, Nghiên cứu và Môi trường ảo hóa (NERVE) của MITER. Những kẻ tấn công được cho là một nhóm quốc gia, đã khai thác hai lỗ hổng zero-day trong các thiết bị Ivanti Connect Secure bắt đầu từ tháng 1 năm 2024. Qua điều tra sâu rộng, các chuyên gia đã xác nhận rằng những kẻ tấn công đã triển khai một web shell dựa trên Perl có tên ROOTROT để giành quyền truy cập ban đầu .

ROOTROT đã bị ẩn trong tệp Connect Secure .ttc hợp pháp có tại '/data/runtime/tmp/tt/setcookie.thtml.ttc' và được cho là thuộc về một cụm gián điệp mạng có quan hệ với Trung Quốc được gọi là UNC5221. Nhóm tin tặc này cũng có liên quan đến các Web shell khác, bao gồm BUSHWALK, CHAINLINE, FRAMESTING và LIGHTWIRE.

Sự lây nhiễm xảy ra sau khi khai thác hai lỗ hổng

Cuộc tấn công liên quan đến việc khai thác CVE-2023-46805 và CVE-2024-21887, cho phép các tác nhân đe dọa phá vỡ xác thực và thực thi các lệnh tùy ý trên hệ thống bị xâm nhập.

Sau khi có được quyền truy cập ban đầu, các tác nhân đe dọa sẽ tiến hành di chuyển theo chiều ngang và xâm nhập vào cơ sở hạ tầng VMware bằng tài khoản quản trị viên bị xâm nhập. Vi phạm này đã tạo điều kiện thuận lợi cho việc triển khai các cửa sau và web shell để thu thập thông tin xác thực và ổn định.

NERVE là một mạng cộng tác chưa được phân loại cung cấp các tài nguyên lưu trữ, tính toán và kết nối mạng. Những kẻ tấn công bị nghi ngờ đã tiến hành trinh sát trên các mạng bị vi phạm, khai thác một trong các Mạng riêng ảo (VPN) bằng cách sử dụng lỗ hổng zero-day của Ivanti Connect Secure và phá vỡ xác thực đa yếu tố thông qua chiếm quyền điều khiển phiên.

Sau khi triển khai ROOTROT Web shell, kẻ tấn công đã phân tích môi trường NERVE và bắt đầu liên lạc với một số máy chủ ESXi, giành quyền kiểm soát cơ sở hạ tầng VMware của MITER. Sau đó, họ giới thiệu một backdoor Golang có tên BRICKSTORM và một Web shell không được tiết lộ có tên BEEFLUSH. BRICKSTORM là một backdoor dựa trên Go được thiết kế để nhắm mục tiêu vào các máy chủ VMware vCenter. Nó có khả năng tự cấu hình như một máy chủ web, thao tác các hệ thống tệp và thư mục, thực hiện các hoạt động tệp như tải lên và tải xuống, thực thi các lệnh shell và hỗ trợ chuyển tiếp SOCKS.

Các bước này đảm bảo quyền truy cập liên tục, cho phép kẻ thù thực thi các lệnh tùy ý và liên lạc với các máy chủ ra lệnh và kiểm soát. Kẻ thù đã sử dụng thao tác SSH và chạy các tập lệnh đáng ngờ để giữ quyền kiểm soát các hệ thống bị xâm nhập.

Các công cụ đe dọa bổ sung được sử dụng cùng với ROOTROT

Phân tích sâu hơn cho thấy kẻ tấn công đã triển khai một Web shell khác có tên WIREFIRE (còn được gọi là GIFTEDVISITOR) một ngày sau khi phát hiện công khai các lỗ hổng kép vào ngày 11 tháng 1 năm 2024. Việc triển khai này nhằm mục đích cho phép liên lạc bí mật và lấy cắp dữ liệu.

Ngoài việc sử dụng web shell BUSHWALK để truyền dữ liệu từ mạng NERVE đến cơ sở hạ tầng Chỉ huy và Kiểm soát của chúng, kẻ tấn công được cho là đã cố gắng di chuyển ngang và duy trì sự tồn tại trong NERVE từ tháng 2 đến giữa tháng 3 năm 2024.

Trong quá trình hoạt động, những kẻ tấn công đã thực thi lệnh ping nhắm vào một trong các bộ điều khiển miền của công ty MITER và cố gắng di chuyển sang các hệ thống MITER, mặc dù những nỗ lực này cuối cùng đều không thành công.