ROOTROT Malware som används av kinesisk hotskådespelare

MITER Corporation har tillhandahållit ytterligare information om en nyligen genomförd cyberattack, som avslöjar att de tidigaste tecknen på intrång går tillbaka till den 31 december 2023. Denna attack, som avslöjades förra månaden, riktade sig mot MITREs NERVE (nätverksexperiment, forskning och virtualiseringsmiljö) genom att utnyttja två nolldagssårbarheter i Ivanti Connect Secure (CVE-2023–46805 och CVE-2024–21887).

Enligt MITRE kom angriparna åt forskningsnätverket genom komprometterad VMware-infrastruktur med hjälp av ett administratörskonto. De använde sedan bakdörrar och webbskal för att upprätthålla åtkomst och samla in referenser.

Nya detaljer dyker upp i ytterligare analys

Även om MITER tidigare hade rapporterat spaningsaktiviteter som började i januari 2024, visar nu en detaljerad analys att kompromissen började i slutet av december 2023 med utplaceringen av ett Perl-baserat webbskal vid namn ROOTROT.

Detta webbskal var inbäddat i en legitim Connect Secure .ttc-fil och associerades med en kinesisk cyberspionagegrupp vid namn UNC5221, som är känd för andra webbskal som BUSHWALK, CHAINLINE, FRAMESTING och LIGHTWIRE.

Efter att ha distribuerat ROOTROT profilerade angriparna NERVE-miljön, kommunicerade med ESXi-värdar, tog kontroll över MITREs VMware-infrastruktur och distribuerade en Golang-bakdörr som heter BRICKSTORM och ett hemligt webbskal vid namn BEEFLUSH för ihållande åtkomst och kommandoexekvering.

MITREs Lex Crumpton förklarade att angriparna använde tekniker som SSH-manipulation och körning av misstänkta skript för att behålla kontrollen. Dessutom distribuerades ett annat webbskal kallat WIREFIRE (eller GIFTEDVISITOR) för hemlig kommunikation och datastöld kort efter det offentliga avslöjandet av sårbarheterna den 11 januari 2024.