中國威脅行為者使用的 ROOTROT 惡意軟體
MITRE 公司提供了有關最近一次網路攻擊的更多信息,顯示最早的入侵跡象可以追溯到2023 年12 月31 日。環境)為目標Ivanti Connect Secure 中存在兩個零日漏洞(CVE-2023-46805 和 CVE-2024-21887)。
據 MITRE 稱,攻擊者使用管理員帳戶透過受損的 VMware 基礎設施存取研究網路。然後,他們使用後門和 Web shell 來維護存取並收集憑證。
進一步分析中出現新細節
儘管 MITRE 先前曾報告過從 2024 年 1 月開始的偵察活動,但現在的詳細分析顯示,攻擊始於 2023 年 12 月下旬,部署了一個名為 ROOTROT 的基於 Perl 的 Web shell。
該 Web shell 嵌入在合法的 Connect Secure .ttc 檔案中,並與一個名為 UNC5221 的中國網路間諜組織相關聯,該組織因 BUSHWALK、CHAINLINE、FRAMESTING 和 LIGHTWIRE 等其他 Web shell 而聞名。
部署ROOTROT後,攻擊者分析了NERVE環境,與ESXi主機通信,控制了MITRE的VMware基礎設施,並部署了一個名為BRICKSTORM的Golang後門和一個名為BEEFLUSH的未公開的Web shell,用於持久訪問和命令執行。
MITRE 的 Lex Crumpton 解釋說,攻擊者使用 SSH 操縱和運行可疑腳本等技術來維持控制。此外,在 2024 年 1 月 11 日公開披露漏洞後不久,另一個名為 WIREFIRE(或 GIFTEDVISITOR)的 Web shell 被部署用於秘密通訊和資料竊取。