Logiciel malveillant ROOTROT

Des cyberattaquants ont récemment ciblé les réseaux NERVE (Networked Experimentation, Research, and Virtualization Environment) de MITRE. Les attaquants, soupçonnés d'être un groupe d'État-nation, ont exploité deux vulnérabilités Zero Day dans les appliances Ivanti Connect Secure à partir de janvier 2024. Grâce à une enquête approfondie, les experts ont confirmé que les attaquants ont déployé un shell Web basé sur Perl nommé ROOTROT pour obtenir un accès initial. .

ROOTROT a été dissimulé dans un fichier Connect Secure .ttc légitime situé dans « /data/runtime/tmp/tt/setcookie.thtml.ttc » et est attribué à un cluster de cyberespionnage ayant des liens avec la Chine connu sous le nom d'UNC5221. Ce même groupe de pirates a été associé à d'autres shells Web, notamment BUSHWALK, CHAINLINE, FRAMESTING et LIGHTWIRE.

L’infection fait suite à l’exploitation de deux vulnérabilités

L'attaque impliquait l'exploitation des CVE-2023-46805 et CVE-2024-21887, permettant aux acteurs malveillants de contourner l'authentification et d'exécuter des commandes arbitraires sur le système compromis.

Une fois l’accès initial obtenu, les acteurs malveillants ont procédé à un mouvement latéral et à infiltrer l’infrastructure VMware à l’aide d’un compte administrateur compromis. Cette faille a facilité le déploiement de portes dérobées et de web shells pour la persistance et la collecte d’informations d’identification.

NERVE est un réseau collaboratif non classifié qui offre des ressources de stockage, de calcul et de réseau. Les attaquants sont soupçonnés d'avoir effectué des reconnaissances sur des réseaux violés, exploité l'un des réseaux privés virtuels (VPN) à l'aide des vulnérabilités Zero Day d'Ivanti Connect Secure et contourné l'authentification multifacteur via un piratage de session.

Après avoir déployé le shell Web ROOTROT, l'acteur malveillant a analysé l'environnement NERVE et a initié la communication avec plusieurs hôtes ESXi, prenant ainsi le contrôle de l'infrastructure VMware de MITRE. Ils ont ensuite introduit une porte dérobée Golang nommée BRICKSTORM et un shell Web non divulgué nommé BEEFLUSH. BRICKSTORM est une porte dérobée basée sur Go conçue pour cibler les serveurs VMware vCenter. Il est capable de se configurer en tant que serveur Web, de manipuler des systèmes de fichiers et des répertoires, d'effectuer des opérations sur les fichiers telles que le téléchargement et le téléchargement, d'exécuter des commandes shell et de faciliter le relais SOCKS.

Ces étapes garantissaient un accès continu, permettant à l'adversaire d'exécuter des commandes arbitraires et de communiquer avec les serveurs de commande et de contrôle. L'adversaire a eu recours à la manipulation SSH et a exécuté des scripts suspects pour conserver le contrôle des systèmes compromis.

Outils de menace supplémentaires utilisés aux côtés de ROOTROT

Une analyse plus approfondie a révélé que l'auteur de la menace a déployé un autre shell Web appelé WIREFIRE (également connu sous le nom de GIFTEDVISITOR) un jour après la divulgation publique des doubles vulnérabilités le 11 janvier 2024. Ce déploiement visait à permettre des communications secrètes et l'exfiltration de données.

En plus d'utiliser le shell Web BUSHWALK pour transmettre des données du réseau NERVE à son infrastructure de commandement et de contrôle, l'adversaire aurait tenté de se déplacer latéralement et de maintenir sa persistance au sein de NERVE de février à mi-mars 2024.

Au cours de leurs activités, les attaquants ont exécuté une commande ping ciblant l'un des contrôleurs de domaine d'entreprise de MITRE et ont tenté de se déplacer latéralement dans les systèmes MITRE, bien que ces tentatives aient finalement échoué.