Malware ROOTROT utilizado por el actor de amenazas chino

MITRE Corporation ha proporcionado información adicional sobre un ciberataque reciente, revelando que los primeros signos de intrusión se remontan al 31 de diciembre de 2023. Este ataque, revelado el mes pasado, tuvo como objetivo el NERVE (entorno de virtualización, investigación y experimentación en red) de MITRE mediante la explotación. dos vulnerabilidades de día cero en Ivanti Connect Secure (CVE-2023–46805 y CVE-2024–21887).

Según MITRE, los atacantes accedieron a la red de investigación a través de la infraestructura VMware comprometida utilizando una cuenta de administrador. Luego utilizaron puertas traseras y shells web para mantener el acceso y recopilar credenciales.

Nuevos detalles surgen en un análisis más detallado

Aunque MITRE había informado anteriormente sobre actividades de reconocimiento a partir de enero de 2024, un análisis detallado ahora revela que el compromiso comenzó a fines de diciembre de 2023 con el despliegue de un shell web basado en Perl llamado ROOTROT.

Este shell web estaba integrado en un archivo .ttc legítimo de Connect Secure y estaba asociado con un grupo de ciberespionaje chino llamado UNC5221, conocido por otros shells web como BUSHWALK, CHAINLINE, FRAMESTING y LIGHTWIRE.

Después de implementar ROOTROT, los atacantes perfilaron el entorno NERVE, se comunicaron con los hosts ESXi, tomaron el control de la infraestructura VMware de MITRE e implementaron una puerta trasera Golang llamada BRICKSTORM y un shell web no revelado llamado BEEFLUSH para acceso persistente y ejecución de comandos.

Lex Crumpton de MITRE explicó que los atacantes utilizaron técnicas como la manipulación de SSH y la ejecución de scripts sospechosos para mantener el control. Además, se implementó otro shell web llamado WIREFIRE (o GIFTEDVISITOR) para comunicación encubierta y robo de datos poco después de la divulgación pública de las vulnerabilidades el 11 de enero de 2024.