Złośliwe oprogramowanie ROOTROT wykorzystywane przez chińskiego cyberprzestępcę

Korporacja MITRE dostarczyła dodatkowe informacje na temat niedawnego cyberataku, ujawniając, że najwcześniejsze oznaki włamania datowane są na 31 grudnia 2023 r. Atak ten, ujawniony w zeszłym miesiącu, był wymierzony w NERVE (sieciowe środowisko eksperymentów, badań i wirtualizacji) MITRE poprzez wykorzystanie dwie luki dnia zerowego w Ivanti Connect Secure (CVE-2023–46805 i CVE-2024–21887).

Według MITRE napastnicy uzyskali dostęp do sieci badawczej poprzez skompromitowaną infrastrukturę VMware, korzystając z konta administratora. Następnie wykorzystali backdoory i powłoki internetowe, aby utrzymać dostęp i zebrać dane uwierzytelniające.

W dalszej analizie wychodzą nowe szczegóły

Chociaż MITER wcześniej informował o działaniach rozpoznawczych rozpoczętych w styczniu 2024 r., szczegółowa analiza pokazuje, że kompromis rozpoczął się pod koniec grudnia 2023 r. wraz z wdrożeniem powłoki sieciowej opartej na języku Perl o nazwie ROOTROT.

Ta powłoka internetowa została osadzona w legalnym pliku Connect Secure .ttc i była powiązana z chińską grupą cyberszpiegowską o nazwie UNC5221, znaną z innych powłok internetowych, takich jak BUSHWALK, CHAINLINE, FRAMESTING i LIGHTWIRE.

Po wdrożeniu narzędzia ROOTROT napastnicy sprofilowali środowisko NERVE, komunikowali się z hostami ESXi, przejęli kontrolę nad infrastrukturą VMware firmy MITRE i wdrożyli backdoora Golang o nazwie BRICKSTORM oraz nieujawnioną powłokę internetową o nazwie BEEFLUSH w celu zapewnienia stałego dostępu i wykonywania poleceń.

Lex Crumpton z MITRE wyjaśnił, że napastnicy w celu utrzymania kontroli używali takich technik, jak manipulacja SSH i uruchamianie podejrzanych skryptów. Ponadto wkrótce po publicznym ujawnieniu luk 11 stycznia 2024 r. wdrożono inną powłokę internetową o nazwie WIREFIRE (lub GIFTEDVISITOR) w celu tajnej komunikacji i kradzieży danych.