中国威胁者使用的 ROOTROT 恶意软件
MITRE 公司提供了有关最近一次网络攻击的更多信息,显示最早的入侵迹象可以追溯到 2023 年 12 月 31 日。上个月披露的这次攻击针对 MITRE 的 NERVE(网络实验、研究和虚拟化环境),利用了 Ivanti Connect Secure 中的两个零日漏洞(CVE-2023-46805 和 CVE-2024-21887)。
据 MITRE 称,攻击者使用管理员账户通过被攻陷的 VMware 基础架构访问了研究网络。然后他们使用后门和 Web Shell 来维持访问权限并收集凭据。
进一步分析后出现新细节
尽管 MITRE 此前曾报告过从 2024 年 1 月开始的侦察活动,但现在的详细分析显示,入侵始于 2023 年 12 月下旬,当时部署了一个名为 ROOTROT 的基于 Perl 的 Web shell。
该 Web shell 嵌入在合法的 Connect Secure .ttc 文件中,并与名为 UNC5221 的中国网络间谍组织有关联,该组织以 BUSHWALK、CHAINLINE、FRAMESTING 和 LIGHTWIRE 等其他 Web shell 而闻名。
部署 ROOTROT 后,攻击者对 NERVE 环境进行了分析,与 ESXi 主机进行了通信,控制了 MITRE 的 VMware 基础架构,并部署了名为 BRICKSTORM 的 Golang 后门和名为 BEEFLUSH 的未公开的 Web shell,以实现持续访问和命令执行。
MITRE 的 Lex Crumpton 解释说,攻击者使用了 SSH 操纵和运行可疑脚本等技术来保持控制。此外,在 2024 年 1 月 11 日漏洞公开披露后不久,另一个名为 WIREFIRE(或 GIFTEDVISITOR)的 Web Shell 被部署用于秘密通信和数据窃取。
