Вредоносное ПО ROOTROT, используемое китайским злоумышленником

Корпорация MITRE предоставила дополнительную информацию о недавней кибератаке, согласно которой самые ранние признаки вторжения датируются 31 декабря 2023 года. Эта атака, раскрытая в прошлом месяце, была нацелена на NERVE компании MITRE (Сетевая среда экспериментов, исследований и виртуализации), используя две уязвимости нулевого дня в Ivanti Connect Secure (CVE-2023–46805 и CVE-2024–21887).

По данным MITRE, злоумышленники получили доступ к исследовательской сети через скомпрометированную инфраструктуру VMware, используя учетную запись администратора. Затем они использовали бэкдоры и веб-оболочки для обеспечения доступа и сбора учетных данных.

Новые детали появляются в ходе дальнейшего анализа

Хотя ранее MITRE сообщала о разведывательной деятельности, начавшейся в январе 2024 года, теперь подробный анализ показывает, что компрометация началась в конце декабря 2023 года с развертывания веб-оболочки на основе Perl под названием ROOTROT.

Эта веб-оболочка была встроена в законный файл Connect Secure .ttc и была связана с китайской группой кибершпионажа под названием UNC5221, которая известна другими веб-оболочками, такими как BUSHWALK, CHAINLINE, FRAMESTING и LIGHTWIRE.

После развертывания ROOTROT злоумышленники профилировали среду NERVE, взаимодействовали с хостами ESXi, взяли под контроль инфраструктуру VMware MITRE и развернули бэкдор Golang под названием BRICKSTORM и нераскрытую веб-оболочку под названием BEEFLUSH для постоянного доступа и выполнения команд.

Лекс Крамптон из MITRE объяснил, что злоумышленники использовали такие методы, как манипулирование SSH и запуск подозрительных скриптов, чтобы сохранить контроль. Кроме того, вскоре после публичного раскрытия уязвимостей 11 января 2024 года была развернута еще одна веб-оболочка под названием WIREFIRE (или GIFTEDVISITOR) для скрытой связи и кражи данных.