Шкідлива програма ROOTROT

Нещодавно кіберзловмисники націлилися на мережеве середовище експериментів, досліджень і віртуалізації (NERVE) MITRE. Зловмисники, які вважаються національно-державною групою, скористалися двома вразливими місцями нульового дня в пристроях Ivanti Connect Secure, починаючи з січня 2024 року. Завдяки ретельному розслідуванню експерти підтвердили, що зловмисники розгорнули веб-оболонку на основі Perl під назвою ROOTROT, щоб отримати початковий доступ. .

ROOTROT було приховано в законному файлі Connect Secure .ttc, розташованому за адресою '/data/runtime/tmp/tt/setcookie.thtml.ttc', і приписується кластеру кібершпигунства, який має зв'язки з Китаєм, відомому як UNC5221. Ця сама група хакерів була пов’язана з іншими веб-оболонками, включаючи BUSHWALK, CHAINLINE, FRAMESTING і LIGHTWIRE.

Зараження сталося після використання двох уразливостей

Атака включала використання CVE-2023-46805 і CVE-2024-21887, що дозволяло зловмисникам обходити автентифікацію та виконувати довільні команди в скомпрометованій системі.

Після отримання початкового доступу зловмисники продовжили рух і проникли в інфраструктуру VMware, використовуючи скомпрометований обліковий запис адміністратора. Це порушення сприяло розгортанню бекдорів і веб-оболонок для збереження та збору облікових даних.

NERVE — це некласифікована мережа для спільної роботи, яка пропонує ресурси для зберігання, обчислення та мережі. Підозрюють, що зловмисники провели розвідку зламаних мереж, скористалися однією з віртуальних приватних мереж (VPN), використовуючи вразливості нульового дня Ivanti Connect Secure, і обійшли багатофакторну автентифікацію за допомогою викрадення сесії.

Після розгортання веб-оболонки ROOTROT зловмисник проаналізував середовище NERVE та ініціював зв’язок із кількома хостами ESXi, отримавши контроль над інфраструктурою VMware MITRE. Потім вони представили бекдор Golang під назвою BRICKSTORM і нерозголошену веб-оболонку під назвою BEEFLUSH. BRICKSTORM — це бекдор на основі Go, розроблений для націлювання на сервери VMware vCenter. Він здатний конфігурувати себе як веб-сервер, маніпулювати файловими системами та каталогами, виконувати файлові операції, такі як завантаження та завантаження, виконувати команди оболонки та полегшувати ретрансляцію SOCKS.

Ці кроки забезпечували безперервний доступ, дозволяючи супротивнику виконувати довільні команди та спілкуватися з командно-контрольними серверами. Зловмисник використовував маніпуляції SSH і запускав підозрілі сценарії, щоб зберегти контроль над скомпрометованими системами.

Додаткові загрозливі інструменти, що використовуються разом із ROOTROT

Подальший аналіз показав, що зловмисник розгорнув іншу веб-оболонку під назвою WIREFIRE (також відому як GIFTEDVISITOR) через день після публічного оприлюднення подвійних уразливостей 11 січня 2024 року. Це розгортання було спрямоване на забезпечення прихованого зв’язку та викрадання даних.

На додаток до використання веб-оболонки BUSHWALK для передачі даних із мережі NERVE до їх інфраструктури командування та контролю, противник, як повідомляється, робив спроби переміщатися вбік і підтримувати постійність у NERVE з лютого до середини березня 2024 року.

Під час своєї діяльності зловмисники виконали команду ping, націлену на один із корпоративних контролерів домену MITRE, і спробували переміститися всередину систем MITRE, але ці спроби були невдалими.