Malware ROOTROT

Sulmuesit kibernetikë së fundmi kanë shënjestruar rrjetet e MITRE-së për Eksperimentimin, Kërkimin dhe Mjedisin e Virtualizimit të Rrjetit (NERVE). Sulmuesit që besohet të jenë një grup shtet-komb, kanë shfrytëzuar dy dobësi të ditës zero në pajisjet Ivanti Connect Secure duke filluar nga janari 2024. Përmes hetimeve të gjera, ekspertët kanë konfirmuar se sulmuesit vendosën një predhë uebi të bazuar në Perl të quajtur ROOTROT për të fituar aksesin fillestar .

ROOTROT ishte fshehur brenda një skedari legjitim Connect Secure .ttc të vendosur në '/data/runtime/tmp/tt/setcookie.thtml.ttc' dhe i atribuohet një grupi spiunazhi kibernetik me lidhje me Kinën, i njohur si UNC5221. I njëjti grup hakerash është lidhur me predha të tjera Web, duke përfshirë BUSHWALK, CHAINLINE, FRAMESTING dhe LIGHTWIRE.

Infeksioni pasoi shfrytëzimin e dy dobësive

Sulmi përfshinte shfrytëzimin e CVE-2023-46805 dhe CVE-2024-21887, duke u mundësuar aktorëve të kërcënimit të anashkalojnë vërtetimin dhe të ekzekutojnë komanda arbitrare në sistemin e komprometuar.

Pasi u arrit qasja fillestare, aktorët e kërcënimit vazhduan të lëviznin anash dhe të depërtonin në infrastrukturën VMware duke përdorur një llogari administratori të komprometuar. Kjo shkelje lehtësoi vendosjen e dyerve të pasme dhe predhave të internetit për këmbëngulje dhe korrje kredenciale.

NERVE është një rrjet bashkëpunues i paklasifikuar që ofron burime ruajtjeje, llogaritjeje dhe rrjeti. Sulmuesit dyshohet se kanë kryer zbulim në rrjetet e shkelura, kanë shfrytëzuar një nga Rrjetet Private Virtuale (VPN) duke përdorur dobësitë e ditës zero të Ivanti Connect Secure dhe kanë anashkaluar vërtetimin me shumë faktorë përmes rrëmbimit të sesioneve.

Pas vendosjes së guaskës ROOTROT Web, aktori i kërcënimit analizoi mjedisin NERVE dhe nisi komunikimin me disa hoste ESXi, duke fituar kontrollin mbi infrastrukturën VMware të MITRE. Më pas ata prezantuan një derë të pasme Golang të quajtur BRICKSTORM dhe një predhë të pazbuluar Web të quajtur BEEFLUSH. BRICKSTORM është një derë e pasme e bazuar në Go, e krijuar për të synuar serverët VMware vCenter. Ai është i aftë të konfigurohet si një server në internet, të manipulojë sistemet dhe drejtoritë e skedarëve, të kryejë operacione skedarësh si ngarkimi dhe shkarkimi, ekzekutimi i komandave të guaskës dhe lehtësimi i transmetimit të SOCKS.

Këta hapa siguruan akses të vazhdueshëm, duke i mundësuar kundërshtarit të ekzekutonte komanda arbitrare dhe të komunikonte me serverët e komandës dhe kontrollit. Kundërshtari përdori manipulimin SSH dhe ekzekutoi skripta të dyshimtë për të mbajtur kontrollin mbi sistemet e komprometuara.

Mjete shtesë kërcënuese të përdorura krahas ROOTROT

Analiza e mëtejshme ka zbuluar se aktori i kërcënimit vendosi një predhë tjetër në internet të quajtur WIREFIRE (i njohur gjithashtu si GIFTEDVISITOR) një ditë pas zbulimit publik të dobësive të dyfishta më 11 janar 2024. Ky vendosje kishte për qëllim të mundësonte komunikimin e fshehtë dhe ekfiltrimin e të dhënave.

Përveç përdorimit të guaskës së internetit BUSHWALK për të transmetuar të dhëna nga rrjeti NERVE në infrastrukturën e tyre të komandës dhe kontrollit, kundërshtari thuhet se bëri përpjekje për të lëvizur anash dhe për të ruajtur qëndrueshmërinë brenda NERVE nga shkurti deri në mes të marsit 2024.

Gjatë aktiviteteve të tyre, sulmuesit ekzekutuan një komandë ping që synonte një nga kontrolluesit e domenit të korporatës MITRE dhe u përpoqën të lëviznin anash në sistemet MITER, megjithëse këto përpjekje përfundimisht ishin të pasuksesshme.