Programari maliciós ROOTROT

Els ciberatacants han apuntat recentment a les xarxes d'experimentació, recerca i virtualització en xarxa (NERVE) de MITRE. Es creu que els atacants eren un grup d'estat-nació, van explotar dues vulnerabilitats de dia zero als dispositius Ivanti Connect Secure a partir del gener de 2024. A través d'una investigació exhaustiva, els experts han confirmat que els atacants van desplegar un shell web basat en Perl anomenat ROOTROT per obtenir l'accés inicial. .

ROOTROT es va amagar dins d'un fitxer .ttc legítim de Connect Secure situat a '/data/runtime/tmp/tt/setcookie.thtml.ttc' i s'atribueix a un clúster d'espionatge cibernètic amb vincles amb la Xina conegut com UNC5221. Aquest mateix grup de pirates informàtics s'ha associat amb altres shells web, com ara BUSHWALK, CHAINLINE, FRAMESTING i LIGHTWIRE.

La infecció va seguir l'explotació de dues vulnerabilitats

L'atac va implicar l'explotació de CVE-2023-46805 i CVE-2024-21887, la qual cosa va permetre als actors de l'amenaça eludir l'autenticació i executar ordres arbitràries al sistema compromès.

Un cop obtingut l'accés inicial, els actors de l'amenaça van procedir a moure's lateralment i a infiltrar-se a la infraestructura de VMware mitjançant un compte d'administrador compromès. Aquesta incompliment va facilitar el desplegament de portes posteriors i shells web per a la persistència i la recollida de credencials.

NERVE és una xarxa col·laborativa no classificada que ofereix recursos d'emmagatzematge, informàtica i xarxes. Se sospita que els atacants han realitzat reconeixements a xarxes trencades, han explotat una de les xarxes privades virtuals (VPN) mitjançant les vulnerabilitats de dia zero d'Ivanti Connect Secure i han eludit l'autenticació multifactorial mitjançant el segrest de sessions.

Després de desplegar l'intèrpret d'ordres web ROOTROT, l'actor de l'amenaça va analitzar l'entorn NERVE i va iniciar la comunicació amb diversos amfitrions ESXi, obtenint el control de la infraestructura VMware de MITRE. Després van introduir una porta del darrere de Golang anomenada BRICKSTORM i una intèrpret web no revelada anomenada BEEFLUSH. BRICKSTORM és una porta posterior basada en Go dissenyada per orientar els servidors VMware vCenter. És capaç de configurar-se com a servidor web, manipular sistemes de fitxers i directoris, dur a terme operacions de fitxers com la càrrega i descàrrega, executar ordres d'intèrpret d'ordres i facilitar la retransmissió de SOCKS.

Aquests passos asseguraven l'accés continu, permetent a l'adversari executar ordres arbitràries i comunicar-se amb servidors d'ordres i control. L'adversari va utilitzar la manipulació SSH i va executar scripts sospitosos per mantenir el control sobre els sistemes compromesos.

Eines addicionals d'amenaça que s'utilitzen juntament amb ROOTROT

Una anàlisi més detallada ha revelat que l'actor de l'amenaça va desplegar un altre shell web anomenat WIREFIRE (també conegut com a GIFTEDVISITOR) un dia després de la divulgació pública de les vulnerabilitats duals l'11 de gener de 2024. Aquest desplegament tenia com a objectiu permetre la comunicació encoberta i l'exfiltració de dades.

A més d'utilitzar l'intèrpret web BUSHWALK per transmetre dades de la xarxa NERVE a la seva infraestructura de comandament i control, l'adversari hauria intentat moure's lateralment i mantenir la persistència dins de NERVE des de febrer fins a mitjans de març de 2024.

Durant les seves activitats, els atacants van executar una ordre ping dirigida a un dels controladors de domini corporatius de MITRE i van intentar moure's lateralment als sistemes MITRE, tot i que finalment aquests intents no van tenir èxit.