中國威脅行為者使用的 ROOTROT 惡意軟體

MITRE 公司提供了有關最近一次網路攻擊的更多信息，顯示最早的入侵跡象可以追溯到2023 年12 月31 日。環境）為目標Ivanti Connect Secure 中存在兩個零日漏洞（CVE-2023-46805 和 CVE-2024-21887）。

據 MITRE 稱，攻擊者使用管理員帳戶透過受損的 VMware 基礎設施存取研究網路。然後，他們使用後門和 Web shell 來維護存取並收集憑證。

進一步分析中出現新細節

儘管 MITRE 先前曾報告過從 2024 年 1 月開始的偵察活動，但現在的詳細分析顯示，攻擊始於 2023 年 12 月下旬，部署了一個名為 ROOTROT 的基於 Perl 的 Web shell。

該 Web shell 嵌入在合法的 Connect Secure .ttc 檔案中，並與一個名為 UNC5221 的中國網路間諜組織相關聯，該組織因 BUSHWALK、CHAINLINE、FRAMESTING 和 LIGHTWIRE 等其他 Web shell 而聞名。

部署ROOTROT後，攻擊者分析了NERVE環境，與ESXi主機通信，控制了MITRE的VMware基礎設施，並部署了一個名為BRICKSTORM的Golang後門和一個名為BEEFLUSH的未公開的Web shell，用於持久訪問和命令執行。

MITRE 的 Lex Crumpton 解釋說，攻擊者使用 SSH 操縱和運行可疑腳本等技術來維持控制。此外，在 2024 年 1 月 11 日公開披露漏洞後不久，另一個名為 WIREFIRE（或 GIFTEDVISITOR）的 Web shell 被部署用於秘密通訊和資料竊取。