ROOTROT-malware gebruikt door Chinese bedreigingsacteur

De MITRE Corporation heeft aanvullende informatie verstrekt over een recente cyberaanval, waaruit blijkt dat de eerste tekenen van inbraak dateren van 31 december 2023. Deze aanval, die vorige maand werd onthuld, was gericht op MITRE’s NERVE (Networked Experimentation, Research, and Virtualization Environment) door misbruik te maken van twee zero-day-kwetsbaarheden in Ivanti Connect Secure (CVE-2023–46805 en CVE-2024–21887).

Volgens MITRE hebben de aanvallers toegang gekregen tot het onderzoeksnetwerk via een gecompromitteerde VMware-infrastructuur met behulp van een beheerdersaccount. Vervolgens gebruikten ze backdoors en webshells om de toegang te behouden en inloggegevens te verzamelen.

Nieuwe details komen naar voren in verdere analyse

Hoewel MITRE eerder verkenningsactiviteiten had gemeld die in januari 2024 begonnen, blijkt uit een gedetailleerde analyse nu dat het compromis eind december 2023 begon met de inzet van een op Perl gebaseerde webshell genaamd ROOTROT.

Deze webshell was ingebed in een legitiem Connect Secure .ttc-bestand en was geassocieerd met een Chinese cyberspionagegroep genaamd UNC5221, die bekend staat om andere webshells zoals BUSHWALK, CHAINLINE, FRAMESTING en LIGHTWIRE.

Na het inzetten van ROOTROT profileerden de aanvallers de NERVE-omgeving, communiceerden met ESXi-hosts, namen de controle over de VMware-infrastructuur van MITRE over en implementeerden een Golang-achterdeur genaamd BRICKSTORM en een geheime webshell genaamd BEEFLUSH voor permanente toegang en opdrachtuitvoering.

Lex Crumpton van MITRE legde uit dat de aanvallers technieken als SSH-manipulatie en het uitvoeren van verdachte scripts gebruikten om de controle te behouden. Bovendien werd kort na de publieke bekendmaking van de kwetsbaarheden op 11 januari 2024 een andere webshell genaamd WIREFIRE (of GIFTEDVISITOR) ingezet voor geheime communicatie en gegevensdiefstal.