Malware ROOTROT usado por ator de ameaças chinês

A MITRE Corporation forneceu informações adicionais sobre um ataque cibernético recente, revelando que os primeiros sinais de intrusão datam de 31 de dezembro de 2023. Este ataque, divulgado no mês passado, teve como alvo o NERVE (Ambiente de Experimentação, Pesquisa e Virtualização em Rede) do MITRE, explorando duas vulnerabilidades de dia zero no Ivanti Connect Secure (CVE-2023–46805 e CVE-2024–21887).

De acordo com o MITRE, os invasores acessaram a rede de pesquisa através da infraestrutura VMware comprometida usando uma conta de administrador. Eles então usaram backdoors e web shells para manter o acesso e coletar credenciais.

Novos detalhes emergem em análises mais aprofundadas

Embora o MITRE tenha relatado anteriormente atividades de reconhecimento iniciadas em janeiro de 2024, uma análise detalhada revela agora que o compromisso começou no final de dezembro de 2023 com a implantação de um web shell baseado em Perl chamado ROOTROT.

Este web shell foi incorporado em um arquivo Connect Secure .ttc legítimo e foi associado a um grupo chinês de espionagem cibernética chamado UNC5221, conhecido por outros web shells como BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE.

Depois de implantar o ROOTROT, os invasores traçaram o perfil do ambiente NERVE, comunicaram-se com hosts ESXi, assumiram o controle da infraestrutura VMware do MITRE e implantaram um backdoor Golang chamado BRICKSTORM e um web shell não divulgado chamado BEEFLUSH para acesso persistente e execução de comandos.

Lex Crumpton, do MITRE, explicou que os invasores usaram técnicas como manipulação de SSH e execução de scripts suspeitos para manter o controle. Além disso, outro web shell chamado WIREFIRE (ou GIFTEDVISITOR) foi implantado para comunicação secreta e roubo de dados logo após a divulgação pública das vulnerabilidades em 11 de janeiro de 2024.