ROOTROT Malware

Penyerang siber baru-baru ini menyasarkan rangkaian Eksperimen Berrangkaian, Penyelidikan dan Persekitaran Maya (NERVE) MITRE. Penyerang yang dipercayai kumpulan negara bangsa, mengeksploitasi dua kerentanan sifar hari dalam peralatan Ivanti Connect Secure bermula pada Januari 2024. Melalui penyiasatan yang meluas, pakar telah mengesahkan bahawa penyerang menggunakan shell web berasaskan Perl bernama ROOTROT untuk mendapatkan akses awal .

ROOTROT telah disembunyikan dalam fail Connect Secure .ttc yang sah yang terletak di '/data/runtime/tmp/tt/setcookie.thtml.ttc' dan dikaitkan dengan kluster pengintipan siber yang mempunyai hubungan dengan China yang dikenali sebagai UNC5221. Kumpulan penggodam yang sama ini telah dikaitkan dengan cangkerang Web lain, termasuk BUSHWALK, CHAINLINE, FRAMESTING dan LIGHTWIRE.

Jangkitan Mengikuti Eksploitasi Dua Kerentanan

Serangan itu melibatkan pengeksploitasian CVE-2023-46805 dan CVE-2024-21887, membolehkan pelaku ancaman memintas pengesahan dan melaksanakan arahan sewenang-wenangnya pada sistem yang terjejas.

Sebaik sahaja akses awal diperoleh, pelaku ancaman terus bergerak ke sisi dan menyusup ke dalam infrastruktur VMware menggunakan akaun pentadbir yang terjejas. Pelanggaran ini memudahkan penggunaan pintu belakang dan cangkang web untuk penuaian yang berterusan dan kelayakan.

NERVE ialah rangkaian kerjasama tidak terkelas yang menawarkan storan, pengkomputeran dan sumber rangkaian. Penyerang disyaki telah menjalankan peninjauan ke atas rangkaian yang dilanggar, mengeksploitasi salah satu Rangkaian Peribadi Maya (VPN) menggunakan kelemahan sifar hari Ivanti Connect Secure dan memintas pengesahan berbilang faktor melalui rampasan sesi.

Selepas menggunakan shell Web ROOTROT, pelaku ancaman menganalisis persekitaran NERVE dan memulakan komunikasi dengan beberapa hos ESXi, mendapatkan kawalan ke atas infrastruktur VMware MITRE. Mereka kemudiannya memperkenalkan pintu belakang Golang bernama BRICKSTORM dan cangkerang Web yang tidak didedahkan bernama BEEFLUSH. BRICKSTORM ialah pintu belakang berasaskan Go yang direka untuk menyasarkan pelayan VMware vCenter. Ia mampu mengkonfigurasi dirinya sebagai pelayan web, memanipulasi sistem fail dan direktori, menjalankan operasi fail seperti memuat naik dan memuat turun, melaksanakan arahan shell, dan memudahkan penyampaian SOCKS.

Langkah-langkah ini memastikan akses berterusan, membolehkan musuh melaksanakan arahan sewenang-wenangnya dan berkomunikasi dengan pelayan arahan dan kawalan. Pihak musuh menggunakan manipulasi SSH dan menjalankan skrip yang mencurigakan untuk mengekalkan kawalan ke atas sistem yang terjejas.

Alat Mengancam Tambahan Digunakan Bersama ROOTROT

Analisis lanjut telah mendedahkan bahawa aktor ancaman itu menggunakan cangkerang Web lain yang dipanggil WIREFIRE (juga dikenali sebagai GIFTEDVISITOR) sehari selepas pendedahan awam tentang dwi kelemahan pada 11 Januari 2024. Penggunaan ini bertujuan untuk membolehkan komunikasi rahsia dan penyingkiran data.

Selain menggunakan cangkerang web BUSHWALK untuk menghantar data daripada rangkaian NERVE ke infrastruktur Command-and-Control mereka, musuh dilaporkan cuba untuk bergerak ke sisi dan mengekalkan kegigihan dalam NERVE dari Februari hingga pertengahan Mac 2024.

Semasa aktiviti mereka, penyerang melaksanakan perintah ping yang menyasarkan salah satu pengawal domain korporat MITRE dan cuba bergerak secara menyamping ke dalam sistem MITRE, walaupun percubaan ini akhirnya tidak berjaya.