ROOTROT Haittaohjelma

Kyberhyökkääjät ovat äskettäin kohdistaneet kohteena MITRE:n Networked Experimentation, Research and Virtualization Environment (NERVE) -verkkoihin. Hyökkääjät, joiden uskottiin olevan kansallisvaltion ryhmä, käyttivät hyväkseen Ivanti Connect Secure -laitteiden kahta nollapäivän haavoittuvuutta tammikuusta 2024 alkaen. Laajan tutkimuksen perusteella asiantuntijat ovat vahvistaneet, että hyökkääjät käyttivät Perl-pohjaista web-kuorta nimeltä ROOTROT päästäkseen alkuun. .

ROOTROT kätkettiin lailliseen Connect Secure .ttc-tiedostoon, joka sijaitsee osoitteessa '/data/runtime/tmp/tt/setcookie.thtml.ttc', ja sen katsotaan kuuluvan kybervakoiluklusteriin, jolla on yhteyksiä Kiinaan ja joka tunnetaan nimellä UNC5221. Tämä sama hakkereiden ryhmä on liitetty muihin verkkopohjaisiin kuoriin, mukaan lukien BUSHWALK, CHAINLINE, FRAMESTING ja LIGHTWIRE.

Tartunta seurasi kahden haavoittuvuuden hyväksikäyttöä

Hyökkäys sisälsi CVE-2023-46805:n ja CVE-2024-21887:n hyväksikäytön, jolloin uhkatekijät pystyivät kiertämään todennusta ja suorittamaan mielivaltaisia komentoja vaarantuneessa järjestelmässä.

Kun ensimmäinen käyttöoikeus saatiin, uhkatekijät siirtyivät sivusuunnassa ja soluttautuivat VMware-infrastruktuuriin käyttämällä vaarantunutta järjestelmänvalvojatiliä. Tämä rikkomus helpotti takaovien ja verkkokuorien käyttöönottoa pysyvyyttä ja valtuustietojen keräämistä varten.

NERVE on luokittelematon yhteistyöverkko, joka tarjoaa tallennus-, laskenta- ja verkkoresursseja. Hyökkääjien epäillään suorittaneen tiedusteluja murtautuneissa verkoissa, käyttäneen VPN-verkkoa (Virtual Private Network) Ivanti Connect Securen nollapäivän haavoittuvuuksia käyttäen ja kiertäneen monitekijätodennusta istuntojen kaappauksella.

ROOTROT Web -kuoren käyttöönoton jälkeen uhkatekijä analysoi NERVE-ympäristön ja aloitti yhteydenpidon useiden ESXi-isäntien kanssa saadakseen hallintaansa MITRE:n VMware-infrastruktuurin. Sitten he esittelivät Golang-takaoven nimeltä BRICKSTORM ja julkistamattoman Web-kuoren nimeltä BEEFLUSH. BRICKSTORM on Go-pohjainen takaovi, joka on suunniteltu kohdistamaan VMware vCenter -palvelimiin. Se pystyy määrittämään itsensä verkkopalvelimeksi, käsittelemään tiedostojärjestelmiä ja hakemistoja, suorittamaan tiedostotoimintoja, kuten lataamista ja lataamista, suorittamaan komentotulkkikomentoja ja helpottamaan SOCKS-välitystä.

Nämä vaiheet varmistivat jatkuvan pääsyn, jolloin vastustaja pystyi suorittamaan mielivaltaisia komentoja ja kommunikoimaan komento- ja ohjauspalvelimien kanssa. Vastustaja käytti SSH-manipulaatiota ja suoritti epäilyttäviä skriptejä säilyttääkseen hallinnan vaarantuneet järjestelmät.

ROOTROTin rinnalla käytettyjä muita uhkailutyökaluja

Lisäanalyysi on paljastanut, että uhkatoimija otti käyttöön toisen Web-kuoren nimeltä WIREFIRE (tunnetaan myös nimellä GIFTEDVISITOR) päivä sen jälkeen, kun kaksoishaavoittuvuudet julkistettiin 11. tammikuuta 2024. Tämän käyttöönoton tarkoituksena oli mahdollistaa salainen viestintä ja tietojen suodattaminen.

Sen lisäksi, että vastustaja käytti BUSHWALK-verkkokuorta tiedon siirtämiseen NERVE-verkosta Command-and-Control-infrastruktuuriinsa, vihollisen kerrotaan yrittäneen siirtyä sivusuunnassa ja ylläpitää pysyvyyttä NERVEssä helmikuusta maaliskuun puoliväliin 2024.

Toimintansa aikana hyökkääjät suorittivat ping-komennon, joka kohdistui yhteen MITRE:n yrityksen toimialueen ohjaimista, ja yrittivät siirtyä sivusuunnassa MITER-järjestelmiin, vaikka nämä yritykset lopulta epäonnistuivat.