Κακόβουλο λογισμικό ROOTROT που χρησιμοποιείται από την κινεζική Threat Actor

Η MITER Corporation παρείχε πρόσθετες πληροφορίες σχετικά με μια πρόσφατη επίθεση στον κυβερνοχώρο, αποκαλύπτοντας ότι τα πρώτα σημάδια εισβολής χρονολογούνται από τις 31 Δεκεμβρίου 2023. Αυτή η επίθεση, που αποκαλύφθηκε τον περασμένο μήνα, στόχευε το NERVE του MITRE (Δικτυωμένο Περιβάλλον Πειραματισμού, Έρευνας και Εικονικοποίησης) εκμεταλλευόμενος δύο τρωτά σημεία zero-day στο Ivanti Connect Secure (CVE-2023–46805 και CVE-2024–21887).

Σύμφωνα με το MITRE, οι εισβολείς είχαν πρόσβαση στο ερευνητικό δίκτυο μέσω παραβιασμένης υποδομής VMware χρησιμοποιώντας έναν λογαριασμό διαχειριστή. Στη συνέχεια χρησιμοποίησαν κερκόπορτες και κελύφη ιστού για να διατηρήσουν την πρόσβαση και να συλλέξουν διαπιστευτήρια.

Νέες λεπτομέρειες προκύπτουν σε περαιτέρω ανάλυση

Αν και το MITER είχε αναφέρει προηγουμένως αναγνωριστικές δραστηριότητες που ξεκινούσαν τον Ιανουάριο του 2024, μια λεπτομερής ανάλυση αποκαλύπτει τώρα ότι ο συμβιβασμός ξεκίνησε στα τέλη Δεκεμβρίου 2023 με την ανάπτυξη ενός κελύφους ιστού που βασίζεται στην Perl με το όνομα ROOTROT.

Αυτό το κέλυφος ιστού ήταν ενσωματωμένο σε ένα νόμιμο αρχείο Connect Secure .ttc και συσχετίστηκε με μια κινεζική ομάδα κατασκοπείας στον κυβερνοχώρο με το όνομα UNC5221, η οποία είναι γνωστή για άλλα κελύφη ιστού όπως BUSHWALK, CHAINLINE, FRAMESTING και LIGHTWIRE.

Μετά την ανάπτυξη του ROOTROT, οι εισβολείς δημιούργησαν προφίλ στο περιβάλλον NERVE, επικοινώνησαν με τους κεντρικούς υπολογιστές ESXi, ανέλαβαν τον έλεγχο της υποδομής VMware του MITRE και ανέπτυξαν μια κερκόπορτα Golang που ονομάζεται BRICKSTORM και ένα ακάλυπτο κέλυφος ιστού με το όνομα BEEFLUSH για μόνιμη πρόσβαση και εκτέλεση εντολών.

Ο Lex Crumpton της MITRE εξήγησε ότι οι εισβολείς χρησιμοποίησαν τεχνικές όπως η χειραγώγηση SSH και η εκτέλεση ύποπτων σεναρίων για να διατηρήσουν τον έλεγχο. Επιπλέον, ένα άλλο κέλυφος ιστού που ονομάζεται WIREFIRE (ή GIFTEDVISITOR) αναπτύχθηκε για κρυφή επικοινωνία και κλοπή δεδομένων λίγο μετά τη δημόσια αποκάλυψη των τρωτών σημείων στις 11 Ιανουαρίου 2024.