ROOTROT skadelig programvare brukt av kinesisk trusselskuespiller

MITER Corporation har gitt tilleggsinformasjon om et nylig cyberangrep, og avslører at de tidligste tegnene på inntrenging dateres tilbake til 31. desember 2023. Dette angrepet, som ble avslørt i forrige måned, rettet mot MITREs NERVE (Networked Experimentation, Research, and Virtualization Environment) ved å utnytte to nulldagssårbarheter i Ivanti Connect Secure (CVE-2023–46805 og CVE-2024–21887).

Ifølge MITRE fikk angriperne tilgang til forskningsnettverket gjennom kompromittert VMware-infrastruktur ved å bruke en administratorkonto. De brukte deretter bakdører og nettskjell for å opprettholde tilgang og samle inn legitimasjon.

Nye detaljer dukker opp i videre analyse

Selv om MITER tidligere hadde rapportert om rekognoseringsaktiviteter som startet i januar 2024, avslører en detaljert analyse nå at kompromisset begynte i slutten av desember 2023 med utplasseringen av et Perl-basert nettskall kalt ROOTROT.

Dette nettskallet var innebygd i en legitim Connect Secure .ttc-fil og var assosiert med en kinesisk cyberspionasjegruppe ved navn UNC5221, som er kjent for andre nettskall som BUSHWALK, CHAINLINE, FRAMESTING og LIGHTWIRE.

Etter å ha distribuert ROOTROT, profilerte angriperne NERVE-miljøet, kommuniserte med ESXi-verter, tok kontroll over MITREs VMware-infrastruktur, og distribuerte en Golang-bakdør kalt BRICKSTORM og et ikke avslørt web-skall kalt BEEFLUSH for vedvarende tilgang og kommandoutførelse.

MITREs Lex Crumpton forklarte at angriperne brukte teknikker som SSH-manipulasjon og å kjøre mistenkelige skript for å opprettholde kontrollen. I tillegg ble et annet nettskall kalt WIREFIRE (eller GIFTEDVISITOR) distribuert for skjult kommunikasjon og datatyveri kort tid etter offentlig avsløring av sårbarhetene 11. januar 2024.