RADICEMalware

Gli aggressori informatici hanno recentemente preso di mira le reti NERVE (Networked Experimentation, Research, and Virtualization Environment) di MITRE. Gli aggressori, ritenuti essere un gruppo-stato-nazione, hanno sfruttato due vulnerabilità zero-day nelle apparecchiature Ivanti Connect Secure a partire da gennaio 2024. Attraverso indagini approfondite, gli esperti hanno confermato che gli aggressori hanno implementato una web shell basata su Perl denominata ROOTROT per ottenere l'accesso iniziale .

ROOTROT era nascosto all'interno di un file Connect Secure .ttc legittimo situato in "/data/runtime/tmp/tt/setcookie.thtml.ttc" ed è attribuito a un cluster di spionaggio informatico con legami con la Cina noto come UNC5221. Questo stesso gruppo di hacker è stato associato ad altre web shell, tra cui BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.

L’infezione è seguita allo sfruttamento di due vulnerabilità

L’attacco prevedeva lo sfruttamento di CVE-2023-46805 e CVE-2024-21887, consentendo agli autori delle minacce di eludere l’autenticazione ed eseguire comandi arbitrari sul sistema compromesso.

Una volta ottenuto l'accesso iniziale, gli autori delle minacce hanno proceduto a spostarsi lateralmente e a infiltrarsi nell'infrastruttura VMware utilizzando un account amministratore compromesso. Questa violazione ha facilitato l'implementazione di backdoor e web shell per la persistenza e la raccolta di credenziali.

NERVE è una rete collaborativa non classificata che offre risorse di archiviazione, elaborazione e rete. Si sospetta che gli aggressori abbiano condotto ricognizioni sulle reti violate, sfruttato una delle reti private virtuali (VPN) utilizzando le vulnerabilità zero-day di Ivanti Connect Secure e aggirato l'autenticazione a più fattori tramite il dirottamento della sessione.

Dopo aver distribuito la Web shell ROOTROT, l'autore della minaccia ha analizzato l'ambiente NERVE e avviato la comunicazione con diversi host ESXi, ottenendo il controllo sull'infrastruttura VMware di MITRE. Hanno quindi introdotto una backdoor Golang denominata BRICKSTORM e una web shell segreta denominata BEEFLUSH. BRICKSTORM è una backdoor basata su Go progettata per prendere di mira i server VMware vCenter. È in grado di configurarsi come server web, manipolare file system e directory, condurre operazioni sui file come caricamento e scaricamento, eseguire comandi shell e facilitare l'inoltro SOCKS.

Questi passaggi garantivano un accesso continuo, consentendo all’avversario di eseguire comandi arbitrari e comunicare con server di comando e controllo. L'aggressore ha utilizzato la manipolazione SSH ed eseguito script sospetti per mantenere il controllo sui sistemi compromessi.

Ulteriori strumenti minacciosi utilizzati insieme a ROOTROT

Ulteriori analisi hanno rivelato che l'autore della minaccia ha implementato un'altra web shell chiamata WIREFIRE (nota anche come GIFTEDVISITOR) un giorno dopo la divulgazione pubblica delle doppie vulnerabilità l'11 gennaio 2024. Questa implementazione aveva lo scopo di consentire la comunicazione segreta e l'esfiltrazione di dati.

Oltre a utilizzare la web shell BUSHWALK per trasmettere dati dalla rete NERVE alla propria infrastruttura di comando e controllo, secondo quanto riferito, l'avversario ha tentato di spostarsi lateralmente e mantenere la persistenza all'interno di NERVE da febbraio a metà marzo 2024.

Durante le loro attività, gli aggressori hanno eseguito un comando ping prendendo di mira uno dei controller di dominio aziendali di MITRE e hanno tentato di spostarsi lateralmente nei sistemi MITRE, sebbene questi tentativi alla fine non abbiano avuto successo.