РООТРОТ Малваре

Сајбер нападачи су недавно циљали МИТРЕ-ове мреже за умрежено експериментисање, истраживање и окружење виртуелизације (НЕРВЕ). Нападачи за које се верује да су група национална држава, искористили су две рањивости нултог дана у уређајима Иванти Цоннецт Сецуре почевши од јануара 2024. Кроз опсежну истрагу, стручњаци су потврдили да су нападачи применили веб-љуску засновану на Перл-у под називом РООТРОТ да би добили почетни приступ .

РООТРОТ је сакривен у легитимној Цоннецт Сецуре .ттц датотеци која се налази на '/дата/рунтиме/тмп/тт/сетцоокие.тхтмл.ттц' и приписује се групи сајбер шпијунаже која је повезана са Кином познатом као УНЦ5221. Ова иста група хакера је повезана са другим веб шкољкама, укључујући БУСХВАЛК, ЦХАИНЛИНЕ, ФРАМЕСТИНГ и ЛИГХТВИРЕ.

Инфекција је уследила након искоришћавања две рањивости

Напад је укључивао искоришћавање ЦВЕ-2023-46805 и ЦВЕ-2024-21887, омогућавајући актерима претњи да заобиђу аутентификацију и изврше произвољне команде на компромитованом систему.

Када је добијен почетни приступ, актери претњи су наставили да се крећу бочно и инфилтрирали се у ВМваре инфраструктуру користећи компромитовани администраторски налог. Ова повреда је олакшала примену позадинских врата и веб шкољки за упорност и прикупљање акредитива.

НЕРВЕ је некласификована мрежа за сарадњу која нуди ресурсе за складиштење, рачунарство и умрежавање. Сумња се да су нападачи извршили извиђање на пробијеним мрежама, искористили једну од виртуелних приватних мрежа (ВПН) користећи рањивост нултог дана Иванти Цоннецт Сецуре и заобишли вишефакторску аутентификацију путем отмице сесије.

Након постављања РООТРОТ веб љуске, актер претње је анализирао НЕРВЕ окружење и покренуо комуникацију са неколико ЕСКСи хостова, добијајући контролу над МИТРЕ-овом ВМваре инфраструктуром. Затим су представили Голанг бацкдоор под називом БРИЦКСТОРМ и неоткривену веб шкољку под називом БЕЕФЛУСХ. БРИЦКСТОРМ је позадинска врата заснована на Го дизајнирана да циља ВМваре вЦентер сервере. Способан је да се конфигурише као веб сервер, манипулише системима датотека и директоријумима, спроводи операције са датотекама као што су отпремање и преузимање, извршавање команди љуске и олакшава преношење СОЦКС-а.

Ови кораци су обезбедили непрекидан приступ, омогућавајући противнику да извршава произвољне команде и комуницира са серверима за команду и контролу. Противник је користио ССХ манипулацију и покренуо сумњиве скрипте како би задржао контролу над компромитованим системима.

Додатни претећи алати који се користе уз РООТРОТ

Даља анализа је открила да је актер претње применио другу веб љуску под називом ВИРЕФИРЕ (такође познат као ГИФТЕДВИСИТОР) дан након јавног обелодањивања двоструких рањивости 11. јануара 2024. Ова примена је имала за циљ да омогући тајну комуникацију и ексфилтрацију података.

Поред коришћења веб-љуске БУСХВАЛК за пренос података са мреже НЕРВЕ на њихову инфраструктуру за команду и контролу, противник је наводно покушао да се помери бочно и одржи упорност унутар НЕРВЕ-а од фебруара до средине марта 2024.

Током својих активности, нападачи су извршили пинг команду циљајући на један од МИТРЕ-ових корпоративних контролера домена и покушали да се помере бочно у МИТЕР системе, иако су ови покушаји на крају били неуспешни.