A kínai fenyegetőző által használt ROOTROT rosszindulatú program

A MITER Corporation további információkkal szolgált egy közelmúltbeli számítógépes támadásról, amely felfedte, hogy a behatolás legkorábbi jelei 2023. december 31-ig nyúlnak vissza. Ez a múlt hónapban nyilvánosságra hozott támadás a MITRE NERVE-jét (hálózati kísérleti, kutatási és virtualizációs környezet) vette célba, kihasználva két nulladik napi sebezhetőség az Ivanti Connect Secure-ban (CVE-2023–46805 és CVE-2024–21887).

A MITRE szerint a támadók a feltört VMware infrastruktúrán keresztül, rendszergazdai fiókkal fértek hozzá a kutatóhálózathoz. Ezután hátsó ajtókat és webhéjakat használtak a hozzáférés fenntartására és a hitelesítő adatok gyűjtésére.

Új részletek derülnek ki a további elemzés során

Bár a MITER korábban már beszámolt a 2024 januárjában kezdődő felderítési tevékenységekről, a részletes elemzés most feltárja, hogy a kompromisszum 2023 decemberében kezdődött a ROOTROT nevű Perl-alapú webhéj telepítésével.

Ez a webhéj egy legitim Connect Secure .ttc fájlba volt beágyazva, és egy UNC5221 nevű kínai kiberkémkedési csoporthoz volt társítva, amely más webhéjakról ismert, mint például a BUSHWALK, a CHAINLINE, a FRAMESTING és a LIGHTWIRE.

A ROOTROT telepítése után a támadók profilt alakítottak ki a NERVE környezetről, kommunikáltak az ESXi gépekkel, átvették az irányítást a MITRE VMware infrastruktúrája felett, és telepítettek egy BRICKSTORM nevű Golang hátsó ajtót és egy BEEFLUSH nevű, nyilvánosságra nem hozott webhéjat a folyamatos hozzáférés és parancsvégrehajtás érdekében.

Lex Crumpton, a MITRE munkatársa elmagyarázta, hogy a támadók olyan technikákat alkalmaztak, mint az SSH-manipuláció és gyanús szkriptek futtatása az irányítás fenntartására. Ezenkívül nem sokkal a sérülékenységek 2024. január 11-i nyilvánosságra hozatala után egy másik webhéjat, a WIREFIRE-t (vagy GIFTEDVISITOR) telepítették titkos kommunikációra és adatlopásra.