రూట్రోట్ మాల్వేర్

సైబర్ దాడి చేసేవారు ఇటీవల MITRE యొక్క నెట్‌వర్క్డ్ ఎక్స్‌పెరిమెంటేషన్, రీసెర్చ్ మరియు వర్చువలైజేషన్ ఎన్విరాన్‌మెంట్ (NERVE) నెట్‌వర్క్‌లను లక్ష్యంగా చేసుకున్నారు. దాడి చేసిన వ్యక్తులు జనవరి 2024 నుండి Ivanti Connect Secure ఉపకరణాలలో రెండు జీరో-డే దుర్బలత్వాలను ఉపయోగించుకుని దేశ-రాష్ట్ర సమూహంగా విశ్వసించారు. విస్తృతమైన విచారణ ద్వారా, దాడి చేసేవారు ప్రాథమిక ప్రాప్యతను పొందడానికి ROOTROT అనే పెర్ల్ ఆధారిత వెబ్ షెల్‌ను మోహరించినట్లు నిపుణులు నిర్ధారించారు. .

ROOTROT '/data/runtime/tmp/tt/setcookie.thtml.ttc' వద్ద ఉన్న చట్టబద్ధమైన Connect Secure .ttc ఫైల్‌లో దాచబడింది మరియు UNC5221గా పిలవబడే చైనాతో సంబంధాలు కలిగిన సైబర్ గూఢచర్య క్లస్టర్‌కు ఆపాదించబడింది. ఇదే హ్యాకర్ల సమూహం బుష్‌వాక్, చైన్‌లైన్, ఫ్రేమ్‌స్టింగ్ మరియు లైట్‌వైర్‌లతో సహా ఇతర వెబ్ షెల్‌లతో అనుబంధించబడింది.

ఇన్ఫెక్షన్ రెండు దుర్బలత్వాల దోపిడీని అనుసరించింది

ఈ దాడిలో CVE-2023-46805 మరియు CVE-2024-21887ను ఉపయోగించుకోవడం, ప్రామాణీకరణను తప్పించుకోవడానికి మరియు రాజీపడిన సిస్టమ్‌పై ఏకపక్ష ఆదేశాలను అమలు చేయడానికి ముప్పు నటులను అనుమతిస్తుంది.

ప్రారంభ యాక్సెస్ పొందిన తర్వాత, బెదిరింపు నటులు రాజీపడిన అడ్మినిస్ట్రేటర్ ఖాతాను ఉపయోగించి పార్శ్వంగా మరియు VMware ఇన్‌ఫ్రాస్ట్రక్చర్‌లోకి చొరబడ్డారు. ఈ ఉల్లంఘన నిలకడ మరియు క్రెడెన్షియల్ హార్వెస్టింగ్ కోసం బ్యాక్‌డోర్లు మరియు వెబ్ షెల్‌ల విస్తరణను సులభతరం చేసింది.

NERVE అనేది నిల్వ, కంప్యూటింగ్ మరియు నెట్‌వర్కింగ్ వనరులను అందించే వర్గీకరించని సహకార నెట్‌వర్క్. దాడి చేసినవారు ఉల్లంఘించిన నెట్‌వర్క్‌లపై నిఘా నిర్వహించి, Ivanti Connect సెక్యూర్ జీరో-డే దుర్బలత్వాలను ఉపయోగించి వర్చువల్ ప్రైవేట్ నెట్‌వర్క్‌లలో (VPNలు) ఒకదానిని ఉపయోగించుకున్నారని మరియు సెషన్ హైజాకింగ్ ద్వారా బహుళ-కారకాల ప్రమాణీకరణను తప్పించుకున్నారని అనుమానిస్తున్నారు.

ROOTROT వెబ్ షెల్‌ను అమలు చేసిన తర్వాత, ముప్పు నటుడు NERVE వాతావరణాన్ని విశ్లేషించాడు మరియు అనేక ESXi హోస్ట్‌లతో కమ్యూనికేషన్‌ను ప్రారంభించాడు, MITRE యొక్క VMware ఇన్‌ఫ్రాస్ట్రక్చర్‌పై నియంత్రణ సాధించాడు. వారు BRICKSTORM అనే గోలాంగ్ బ్యాక్‌డోర్‌ను మరియు BEEFLUSH అనే పేరులేని వెబ్ షెల్‌ను పరిచయం చేశారు. BRICKSTORM అనేది VMware vCenter సర్వర్‌లను లక్ష్యంగా చేసుకోవడానికి రూపొందించబడిన గో-ఆధారిత బ్యాక్‌డోర్. ఇది వెబ్ సర్వర్‌గా కాన్ఫిగర్ చేయగలదు, ఫైల్ సిస్టమ్‌లు మరియు డైరెక్టరీలను మార్చగలదు, అప్‌లోడ్ చేయడం మరియు డౌన్‌లోడ్ చేయడం, షెల్ ఆదేశాలను అమలు చేయడం మరియు సాక్స్ రిలేయింగ్‌ను సులభతరం చేయడం వంటి ఫైల్ ఆపరేషన్‌లను నిర్వహించగలదు.

ఈ దశలు నిరంతర ప్రాప్యతను నిర్ధారిస్తాయి, విరోధిని ఏకపక్ష ఆదేశాలను అమలు చేయడానికి మరియు కమాండ్-అండ్-కంట్రోల్ సర్వర్‌లతో కమ్యూనికేట్ చేయడానికి వీలు కల్పిస్తుంది. ప్రత్యర్థి SSH మానిప్యులేషన్‌ను ఉపయోగించాడు మరియు రాజీపడిన సిస్టమ్‌లపై నియంత్రణను నిలుపుకోవడానికి అనుమానాస్పద స్క్రిప్ట్‌లను అమలు చేశాడు.

రూట్‌రోట్‌తో పాటు ఉపయోగించే అదనపు బెదిరింపు సాధనాలు

జనవరి 11, 2024న ద్వంద్వ దుర్బలత్వాలను బహిరంగంగా బహిర్గతం చేసిన ఒక రోజు తర్వాత బెదిరింపు నటుడు WIREFIRE (GIFTEDVISITOR అని కూడా పిలుస్తారు) అనే మరో వెబ్ షెల్‌ను మోహరించినట్లు తదుపరి విశ్లేషణ వెల్లడించింది. ఈ విస్తరణ రహస్య కమ్యూనికేషన్ మరియు డేటా నిర్మూలనను ప్రారంభించడం లక్ష్యంగా పెట్టుకుంది.

NERVE నెట్‌వర్క్ నుండి వారి కమాండ్-అండ్-కంట్రోల్ ఇన్‌ఫ్రాస్ట్రక్చర్‌కు డేటాను ప్రసారం చేయడానికి BUSHWALK వెబ్ షెల్‌ను ఉపయోగించడంతో పాటు, ప్రత్యర్థి ఫిబ్రవరి నుండి మార్చి 2024 మధ్య వరకు NERVE లోపల నిలకడగా తరలించడానికి ప్రయత్నించినట్లు నివేదించబడింది.

వారి కార్యకలాపాల సమయంలో, దాడి చేసేవారు MITRE యొక్క కార్పొరేట్ డొమైన్ కంట్రోలర్‌లలో ఒకదానిని లక్ష్యంగా చేసుకుని పింగ్ కమాండ్‌ని అమలు చేశారు మరియు MITER సిస్టమ్‌లలోకి పార్శ్వంగా తరలించడానికి ప్రయత్నించారు, అయితే ఈ ప్రయత్నాలు చివరికి విఫలమయ్యాయి.