Kinijos grėsmių veikėjo naudojama ROOTROT kenkėjiška programa

Korporacija MITER pateikė papildomos informacijos apie neseniai įvykdytą kibernetinę ataką ir atskleidė, kad pirmieji įsibrovimo požymiai datuojami 2023 m. gruodžio 31 d. Ši ataka, atskleista praėjusį mėnesį, buvo nukreipta į MITRE NERVE (tinklinę eksperimentavimo, tyrimų ir virtualizacijos aplinką). du nulinės dienos pažeidžiamumas „Ivanti Connect Secure“ (CVE-2023–46805 ir CVE-2024–21887).

MITRE teigimu, užpuolikai prie tyrimų tinklo prisijungė per pažeistą VMware infrastruktūrą naudodami administratoriaus paskyrą. Tada jie naudojo užpakalines duris ir žiniatinklio apvalkalus, kad išlaikytų prieigą ir rinktų kredencialus.

Tolesnėje analizėje atsiranda naujų detalių

Nors MITER anksčiau pranešė apie žvalgybos veiklą, prasidedančią 2024 m. sausio mėn., dabar išsami analizė atskleidžia, kad kompromisas prasidėjo 2023 m. gruodžio pabaigoje, kai buvo įdiegtas Perl pagrindu sukurtas žiniatinklio apvalkalas, pavadintas ROOTROT.

Šis žiniatinklio apvalkalas buvo įterptas į teisėtą Connect Secure .ttc failą ir buvo susietas su Kinijos kibernetinio šnipinėjimo grupe UNC5221, kuri žinoma dėl kitų žiniatinklio apvalkalų, pvz., BUSHWALK, CHAINLINE, FRAMESTING ir LIGHTWIRE.

Įdiegę ROOTROT, užpuolikai profiliavo NERVE aplinką, bendravo su ESXi pagrindiniais kompiuteriais, perėmė MITRE VMware infrastruktūros valdymą ir įdiegė Golang užpakalines duris, pavadintas BRICKSTORM, ir neatskleidžiamą žiniatinklio apvalkalą pavadinimu BEEFLUSH, kad būtų galima nuolat pasiekti ir vykdyti komandas.

MITRE Lex Crumpton paaiškino, kad užpuolikai naudojo tokius metodus kaip SSH manipuliavimas ir įtartinų scenarijų vykdymas, kad išlaikytų kontrolę. Be to, netrukus po pažeidžiamumų atskleidimo 2024 m. sausio 11 d. buvo įdiegtas kitas žiniatinklio apvalkalas, vadinamas WIREFIRE (arba GIFTEDVISITOR), skirtas slaptam ryšiui ir duomenų vagystėms.