Зловреден софтуер ROOTROT

Кибер нападателите наскоро се насочиха към мрежите на MITRE за мрежови експерименти, изследвания и среда за виртуализация (NERVE). Нападателите, за които се смята, че са национална държавна група, са използвали две уязвимости от нулевия ден в уредите Ivanti Connect Secure от януари 2024 г. Чрез задълбочено разследване експертите са потвърдили, че нападателите са разположили базирана на Perl уеб обвивка, наречена ROOTROT, за да получат първоначален достъп .

ROOTROT беше скрит в законен Connect Secure .ttc файл, намиращ се на адрес „/data/runtime/tmp/tt/setcookie.thtml.ttc“ и се приписва на клъстер за кибер шпионаж с връзки в Китай, известен като UNC5221. Същата група хакери е свързана с други уеб обвивки, включително BUSHWALK, CHAINLINE, FRAMESTING и LIGHTWIRE.

Инфекцията последва използването на две уязвимости

Атаката включваше използване на CVE-2023-46805 и CVE-2024-21887, позволявайки на участниците в заплахата да заобикалят удостоверяването и да изпълняват произволни команди на компрометираната система.

След като беше получен първоначалният достъп, участниците в заплахата продължиха да се движат странично и да проникнат в инфраструктурата на VMware, използвайки компрометиран администраторски акаунт. Този пробив улесни внедряването на задни врати и уеб обвивки за постоянство и събиране на идентификационни данни.

NERVE е некласифицирана мрежа за сътрудничество, която предлага ресурси за съхранение, изчисления и мрежови ресурси. Предполага се, че нападателите са извършили разузнаване на пробитите мрежи, използвали са една от виртуалните частни мрежи (VPN), използвайки уязвимостите на Ivanti Connect Secure за нулев ден и са заобиколили многофакторното удостоверяване чрез отвличане на сесия.

След внедряването на уеб обвивката на ROOTROT, заплахата анализира средата на NERVE и инициира комуникация с няколко ESXi хоста, постигайки контрол над VMware инфраструктурата на MITRE. След това те представиха задна врата на Golang, наречена BRICKSTORM, и неразкрита уеб обвивка, наречена BEEFLUSH. BRICKSTORM е базирана на Go задна вратичка, предназначена да насочва към VMware vCenter сървъри. Той може да се конфигурира като уеб сървър, да манипулира файлови системи и директории, да извършва файлови операции като качване и изтегляне, да изпълнява команди на shell и да улеснява препредаване на SOCKS.

Тези стъпки гарантираха непрекъснат достъп, позволявайки на противника да изпълнява произволни команди и да комуникира със сървъри за командване и контрол. Противникът използва SSH манипулация и стартира подозрителни скриптове, за да запази контрола върху компрометираните системи.

Допълнителни заплашителни инструменти, използвани заедно с ROOTROT

Допълнителен анализ разкри, че заплахата е внедрила друга уеб обвивка, наречена WIREFIRE (известна още като GIFTEDVISITOR), ден след публичното разкриване на двойните уязвимости на 11 януари 2024 г. Това внедряване имаше за цел да даде възможност за скрита комуникация и ексфилтрация на данни.

В допълнение към използването на уеб обвивката BUSHWALK за предаване на данни от мрежата NERVE към тяхната инфраструктура за командване и контрол, според съобщенията противникът е правил опити да се движи странично и да поддържа постоянство в рамките на NERVE от февруари до средата на март 2024 г.

По време на своите дейности нападателите изпълниха команда ping, насочена към един от корпоративните домейн контролери на MITRE и се опитаха да се преместят странично в системите на MITRE, въпреки че тези опити в крайна сметка бяха неуспешни.