Logiciel malveillant ROOTROT utilisé par un acteur menaçant chinois

La société MITRE a fourni des informations supplémentaires sur une récente cyberattaque, révélant que les premiers signes d'intrusion remontent au 31 décembre 2023. Cette attaque, divulguée le mois dernier, visait le NERVE (Networked Experimentation, Research, and Virtualization Environment) de MITRE en exploitant deux vulnérabilités Zero Day dans Ivanti Connect Secure (CVE-2023-46805 et CVE-2024-21887).

Selon MITRE, les attaquants ont accédé au réseau de recherche via une infrastructure VMware compromise en utilisant un compte administrateur. Ils ont ensuite utilisé des portes dérobées et des shells Web pour maintenir l’accès et collecter les informations d’identification.

De nouveaux détails émergent dans une analyse plus approfondie

Bien que MITRE ait précédemment signalé des activités de reconnaissance commençant en janvier 2024, une analyse détaillée révèle désormais que la compromission a commencé fin décembre 2023 avec le déploiement d'un shell Web basé sur Perl nommé ROOTROT.

Ce shell Web était intégré dans un fichier Connect Secure .ttc légitime et était associé à un groupe de cyberespionnage chinois nommé UNC5221, connu pour d'autres shells Web tels que BUSHWALK, CHAINLINE, FRAMESTING et LIGHTWIRE.

Après avoir déployé ROOTROT, les attaquants ont profilé l'environnement NERVE, communiqué avec les hôtes ESXi, pris le contrôle de l'infrastructure VMware de MITRE et déployé une porte dérobée Golang appelée BRICKSTORM et un shell Web non divulgué nommé BEEFLUSH pour un accès persistant et l'exécution de commandes.

Lex Crumpton de MITRE a expliqué que les attaquants ont utilisé des techniques telles que la manipulation SSH et l'exécution de scripts suspects pour maintenir le contrôle. De plus, un autre shell Web appelé WIREFIRE (ou GIFTEDVISITOR) a été déployé pour des communications secrètes et le vol de données peu de temps après la divulgation publique des vulnérabilités le 11 janvier 2024.