Malware ROOTROT utilizzato da un attore di minacce cinese

La MITRE Corporation ha fornito ulteriori informazioni su un recente attacco informatico, rivelando che i primi segni di intrusione risalgono al 31 dicembre 2023. Questo attacco, rivelato il mese scorso, ha preso di mira il NERVE (Networked Experimentation, Research, and Virtualization Environment) di MITRE sfruttando due vulnerabilità zero-day in Ivanti Connect Secure (CVE-2023–46805 e CVE-2024–21887).

Secondo MITRE, gli aggressori sono entrati nella rete di ricerca attraverso l'infrastruttura VMware compromessa utilizzando un account amministratore. Hanno quindi utilizzato backdoor e web shell per mantenere l'accesso e raccogliere credenziali.

Nuovi dettagli emergono da ulteriori analisi

Sebbene MITRE avesse precedentemente segnalato attività di ricognizione a partire dal gennaio 2024, un’analisi dettagliata ora rivela che il compromesso è iniziato alla fine di dicembre 2023 con l’implementazione di una web shell basata su Perl denominata ROOTROT.

Questa web shell era incorporata in un file Connect Secure .ttc legittimo ed era associata a un gruppo cinese di spionaggio informatico denominato UNC5221, noto per altre web shell come BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.

Dopo aver implementato ROOTROT, gli aggressori hanno profilato l'ambiente NERVE, comunicato con gli host ESXi, preso il controllo dell'infrastruttura VMware di MITRE e implementato una backdoor Golang chiamata BRICKSTORM e una web shell segreta denominata BEEFLUSH per l'accesso persistente e l'esecuzione dei comandi.

Lex Crumpton di MITRE ha spiegato che gli aggressori hanno utilizzato tecniche come la manipolazione SSH e l'esecuzione di script sospetti per mantenere il controllo. Inoltre, un'altra web shell chiamata WIREFIRE (o GIFTEDVISITOR) è stata implementata per comunicazioni segrete e furto di dati poco dopo la divulgazione pubblica delle vulnerabilità l'11 gennaio 2024.