ROOTROT Malware brugt af kinesisk trusselskuespiller

MITER Corporation har givet yderligere oplysninger om et nyligt cyberangreb, der afslører, at de tidligste tegn på indtrængen daterer sig tilbage til den 31. december 2023. Dette angreb, der blev afsløret i sidste måned, var rettet mod MITREs NERVE (Networked Experimentation, Research, and Virtualization Environment) ved at udnytte to nul-dages sårbarheder i Ivanti Connect Secure (CVE-2023–46805 og CVE-2024–21887).

Ifølge MITRE fik angriberne adgang til forskningsnetværket gennem kompromitteret VMware-infrastruktur ved hjælp af en administratorkonto. De brugte derefter bagdøre og web-skaller til at bevare adgangen og indsamle legitimationsoplysninger.

Nye detaljer dukker op i yderligere analyse

Selvom MITER tidligere havde rapporteret om rekognosceringsaktiviteter, der startede i januar 2024, afslører en detaljeret analyse nu, at kompromiset begyndte i slutningen af december 2023 med implementeringen af en Perl-baseret web-shell ved navn ROOTROT.

Denne web-shell var indlejret i en legitim Connect Secure .ttc-fil og var forbundet med en kinesisk cyberspionagegruppe ved navn UNC5221, som er kendt for andre web-skaller som BUSHWALK, CHAINLINE, FRAMESTING og LIGHTWIRE.

Efter at have installeret ROOTROT profilerede angriberne NERVE-miljøet, kommunikerede med ESXi-værter, tog kontrol over MITRE's VMware-infrastruktur og implementerede en Golang-bagdør kaldet BRICKSTORM og en ikke offentliggjort web-shell ved navn BEEFLUSH til vedvarende adgang og kommandoudførelse.

MITREs Lex Crumpton forklarede, at angriberne brugte teknikker som SSH-manipulation og at køre mistænkelige scripts for at bevare kontrollen. Derudover blev en anden web-shell kaldet WIREFIRE (eller GIFTEDVISITOR) indsat til hemmelig kommunikation og datatyveri kort efter den offentlige offentliggørelse af sårbarhederne den 11. januar 2024.