中国の脅威アクターが使用するROOTROTマルウェア
MITRE Corporation は最近のサイバー攻撃に関する追加情報を提供し、侵入の最も初期の兆候は 2023 年 12 月 31 日にまで遡ることを明らかにしました。先月明らかにされたこの攻撃は、Ivanti Connect Secure の 2 つのゼロデイ脆弱性 (CVE-2023–46805 および CVE-2024–21887) を悪用して、MITRE の NERVE (ネットワーク化された実験、研究、および仮想化環境) を標的としていました。
MITRE によると、攻撃者は管理者アカウントを使用して、侵害された VMware インフラストラクチャを介して研究ネットワークにアクセスしました。その後、バックドアと Web シェルを使用してアクセスを維持し、資格情報を収集しました。
さらなる分析で新たな詳細が明らかになる
MITREは以前、2024年1月から偵察活動が始まっていると報告していましたが、詳細な分析により、侵害は2023年12月下旬にROOTROTというPerlベースのウェブシェルの展開によって始まったことが明らかになりました。
この Web シェルは、正規の Connect Secure .ttc ファイルに埋め込まれており、BUSHWALK、CHAINLINE、FRAMESTING、LIGHTWIRE などの他の Web シェルで知られる UNC5221 という中国のサイバースパイ グループに関連付けられていました。
攻撃者は、ROOTROTを展開した後、NERVE環境をプロファイリングし、ESXiホストと通信し、MITREのVMwareインフラストラクチャを制御し、永続的なアクセスとコマンド実行のために、BRICKSTORMと呼ばれるGolangバックドアとBEEFLUSHと呼ばれる非公開のWebシェルを展開しました。
MITRE の Lex Crumpton 氏は、攻撃者は SSH 操作や疑わしいスクリプトの実行などの手法を使用して制御を維持したと説明しました。さらに、2024 年 1 月 11 日に脆弱性が公開された直後に、WIREFIRE (または GIFTEDVISITOR) と呼ばれる別の Web シェルが秘密通信とデータ盗難のために展開されました。