ROOTROT Malware

Kamakailan ay tina-target ng mga cyber attacker ang Networked Experimentation, Research, at Virtualization Environment (NERVE) network ng MITRE. Ang mga umaatake na pinaniniwalaang isang grupo ng nation-state, ay pinagsamantalahan ang dalawang zero-day vulnerabilities sa Ivanti Connect Secure appliances simula noong Enero 2024. Sa pamamagitan ng malawak na pagsisiyasat, kinumpirma ng mga eksperto na ang mga attacker ay nag-deploy ng isang Perl-based na web shell na pinangalanang ROOTROT para makakuha ng paunang access .

Ang ROOTROT ay itinago sa loob ng isang lehitimong Connect Secure .ttc file na matatagpuan sa '/data/runtime/tmp/tt/setcookie.thtml.ttc' at iniuugnay sa isang cyber espionage cluster na may kaugnayan sa China na kilala bilang UNC5221. Ang parehong grupo ng mga hacker ay nauugnay sa iba pang mga Web shell, kabilang ang BUSHWALK, CHAINLINE, FRAMESTING at LIGHTWIRE.

Ang Impeksyon ay Sumunod sa Pagsasamantala sa Dalawang Kahinaan

Kasama sa pag-atake ang pagsasamantala sa CVE-2023-46805 at CVE-2024-21887, na nagbibigay-daan sa mga aktor ng pagbabanta na iwasan ang pagpapatunay at magsagawa ng mga arbitrary na utos sa nakompromisong sistema.

Sa sandaling nakuha ang paunang pag-access, ang mga aktor ng pagbabanta ay nagpatuloy na lumipat sa gilid at pumasok sa imprastraktura ng VMware gamit ang isang nakompromisong administrator account. Pinadali ng paglabag na ito ang pag-deploy ng mga backdoors at web shell para sa pagtitiyaga at pag-aani ng kredensyal.

Ang NERVE ay isang unclassified collaborative network na nag-aalok ng storage, computing, at networking resources. Ang mga umaatake ay pinaghihinalaang nagsagawa ng reconnaissance sa mga nalabag na network, pinagsamantalahan ang isa sa mga Virtual Private Network (VPN) gamit ang Ivanti Connect Secure zero-day vulnerabilities at iniiwasan ang multi-factor authentication sa pamamagitan ng session hijacking.

Pagkatapos i-deploy ang ROOTROT Web shell, sinuri ng threat actor ang NERVE environment at sinimulan ang komunikasyon sa ilang ESXi hosts, na nakakuha ng kontrol sa VMware infrastructure ng MITRE. Pagkatapos ay ipinakilala nila ang isang backdoor ng Golang na pinangalanang BRICKSTORM at isang hindi natukoy na Web shell na pinangalanang BEEFLUSH. Ang BRICKSTORM ay isang Go-based na backdoor na idinisenyo upang i-target ang mga server ng VMware vCenter. Ito ay may kakayahang i-configure ang sarili nito bilang isang web server, manipulahin ang mga file system at direktoryo, pagsasagawa ng mga operasyon ng file tulad ng pag-upload at pag-download, pagpapatupad ng mga shell command, at pagpapadali sa SOCKS relaying.

Tiniyak ng mga hakbang na ito ang tuluy-tuloy na pag-access, na nagbibigay-daan sa kalaban na magsagawa ng mga di-makatwirang utos at makipag-usap sa mga server ng command-and-control. Ginamit ng kalaban ang pagmamanipula ng SSH at nagpatakbo ng mga kahina-hinalang script upang mapanatili ang kontrol sa mga nakompromisong system.

Karagdagang Mga Tool sa Pagbabanta na Ginamit Kasama ng ROOTROT

Ang karagdagang pagsusuri ay nagsiwalat na ang aktor ng banta ay nag-deploy ng isa pang Web shell na tinatawag na WIREFIRE (kilala rin bilang GIFTEDVISITOR) isang araw pagkatapos ng pampublikong pagsisiwalat ng dalawahang kahinaan noong Enero 11, 2024. Ang deployment na ito ay naglalayong i-enable ang patagong komunikasyon at data exfiltration.

Bilang karagdagan sa paggamit ng BUSHWALK web shell upang magpadala ng data mula sa network ng NERVE patungo sa kanilang imprastraktura ng Command-and-Control, ang kalaban ay naiulat na sinubukang lumipat sa gilid at mapanatili ang pagtitiyaga sa loob ng NERVE mula Pebrero hanggang kalagitnaan ng Marso 2024.

Sa panahon ng kanilang mga aktibidad, ang mga umaatake ay nagsagawa ng ping command na nagta-target sa isa sa mga corporate domain controller ng MITRE at sinubukang lumipat sa gilid sa mga sistema ng MITRE, kahit na ang mga pagtatangka na ito ay hindi matagumpay.