ROOTROT kenkėjiška programa

Kibernetiniai užpuolikai neseniai nusitaikė į MITRE tinklo eksperimentavimo, tyrimų ir virtualizacijos aplinkos (NERVE) tinklus. Manoma, kad užpuolikai yra nacionalinės valstybės grupė, nuo 2024 m. sausio mėn. pasinaudojusi dviem nulinės dienos „Ivanti Connect Secure“ įrenginių pažeidžiamumu. Atlikę išsamų tyrimą ekspertai patvirtino, kad užpuolikai įdiegė „Perl“ pagrindu sukurtą žiniatinklio apvalkalą, pavadintą ROOTROT, kad gautų pradinę prieigą. .

ROOTROT buvo paslėptas teisėtame Connect Secure .ttc faile, esančiame adresu „/data/runtime/tmp/tt/setcookie.thtml.ttc“, ir yra priskiriamas kibernetinio šnipinėjimo grupei, turinčiai ryšių su Kinija, žinoma kaip UNC5221. Ta pati įsilaužėlių grupė buvo susieta su kitais žiniatinklio apvalkalais, įskaitant BUSHWALK, CHAINLINE, FRAMESTING ir LIGHTWIRE.

Infekcija įvyko po dviejų pažeidžiamumų išnaudojimo

Ataka apėmė CVE-2023-46805 ir CVE-2024-21887 išnaudojimą, leidžiantį grėsmės veikėjams apeiti autentifikavimą ir vykdyti savavališkas komandas pažeistoje sistemoje.

Gavus pradinę prieigą, grėsmės veikėjai pradėjo judėti į šoną ir įsiskverbti į VMware infrastruktūrą naudodami pažeistą administratoriaus paskyrą. Šis pažeidimas palengvino galinių durų ir žiniatinklio apvalkalų diegimą, kad būtų užtikrintas atkaklumas ir kredencialai.

NERVE yra neklasifikuojamas bendradarbiavimo tinklas, siūlantis saugojimo, skaičiavimo ir tinklo išteklius. Įtariama, kad užpuolikai atliko pažeistų tinklų žvalgybą, išnaudojo vieną iš virtualių privačių tinklų (VPN), naudodami Ivanti Connect Secure nulinės dienos pažeidžiamumą ir apėjo kelių veiksnių autentifikavimą per seanso užgrobimą.

Įdiegęs ROOTROT Web apvalkalą, grėsmės veikėjas išanalizavo NERVE aplinką ir pradėjo ryšį su keliais ESXi pagrindiniais kompiuteriais, įgydamas MITRE VMware infrastruktūros valdymą. Tada jie pristatė Golang užpakalines duris, pavadintas BRICKSTORM, ir neatskleistą žiniatinklio apvalkalą, pavadintą BEEFLUSH. BRICKSTORM yra „Go“ pagrindu sukurtas užpakalinės durys, skirtos „VMware vCenter“ serveriams. Jis gali susikonfigūruoti save kaip žiniatinklio serverį, manipuliuoti failų sistemomis ir katalogais, atlikti tokias failų operacijas kaip įkėlimas ir atsisiuntimas, vykdyti apvalkalo komandas ir palengvinti SOCKS perdavimą.

Šie veiksmai užtikrino nuolatinę prieigą, leidžiančią priešininkui vykdyti savavališkas komandas ir susisiekti su komandų ir valdymo serveriais. Priešas naudojo SSH manipuliavimą ir paleido įtartinus scenarijus, kad išlaikytų pažeistų sistemų kontrolę.

Papildomi grasinantys įrankiai, naudojami kartu su ROOTROT

Tolesnė analizė atskleidė, kad grėsmės veikėjas įdiegė kitą žiniatinklio apvalkalą, pavadintą WIREFIRE (taip pat žinomas kaip GIFTEDVISITOR), praėjus dienai po to, kai 2024 m. sausio 11 d. buvo atskleistas dvigubas pažeidžiamumas. Šiuo diegimu buvo siekiama įgalinti slaptą ryšį ir duomenų išfiltravimą.

Pranešama, kad ne tik naudojo BUSHWALK žiniatinklio apvalkalą duomenims iš NERVE tinklo perduoti į savo valdymo ir valdymo infrastruktūrą, bet ir bandė judėti į šoną ir išlaikyti atkaklumą NERVE nuo 2024 m. vasario mėn. iki kovo vidurio.

Vykdydami savo veiklą, užpuolikai įvykdė ping komandą, nukreiptą į vieną iš MITRE įmonės domeno valdiklių, ir bandė pereiti iš šono į MITER sistemas, tačiau šie bandymai galiausiai buvo nesėkmingi.