ROOTROT-Malware

Cyber-Angreifer haben es kürzlich auf die NERVE-Netzwerke (Networked Experimentation, Research, and Virtualization Environment) von MITRE abgesehen. Die Angreifer, bei denen es sich vermutlich um eine staatliche Gruppe handelt, nutzten ab Januar 2024 zwei Zero-Day-Schwachstellen in Ivanti Connect Secure-Geräten aus. Durch umfangreiche Untersuchungen haben Experten bestätigt, dass die Angreifer eine Perl-basierte Web-Shell namens ROOTROT eingesetzt haben, um sich ersten Zugriff zu verschaffen.

ROOTROT war in einer legitimen Connect Secure .ttc-Datei unter '/data/runtime/tmp/tt/setcookie.thtml.ttc' versteckt und wird einem Cyber-Spionagecluster mit Verbindungen nach China zugeschrieben, der als UNC5221 bekannt ist. Dieselbe Hackergruppe wurde mit anderen Web-Shells in Verbindung gebracht, darunter BUSHWALK, CHAINLINE, FRAMESTING und LIGHTWIRE.

Die Infektion erfolgte durch Ausnutzung zweier Schwachstellen

Bei dem Angriff wurden die Sicherheitslücken CVE-2023-46805 und CVE-2024-21887 ausgenutzt, wodurch es Bedrohungsakteuren möglich wurde, die Authentifizierung zu umgehen und beliebige Befehle auf dem kompromittierten System auszuführen.

Nachdem der erste Zugriff erlangt war, gingen die Angreifer weiter vor und infiltrierten die VMware-Infrastruktur mithilfe eines kompromittierten Administratorkontos. Dieser Einbruch erleichterte die Bereitstellung von Backdoors und Webshells zur Persistenz und zum Abgreifen von Anmeldeinformationen.

NERVE ist ein nicht klassifiziertes kollaboratives Netzwerk, das Speicher-, Rechen- und Netzwerkressourcen anbietet. Die Angreifer sollen Aufklärungsarbeit in gehackten Netzwerken geleistet, eines der virtuellen privaten Netzwerke (VPNs) ausgenutzt und dabei die Zero-Day-Schwachstellen von Ivanti Connect Secure genutzt und die Multi-Faktor-Authentifizierung durch Session Hijacking umgangen haben.

Nach der Bereitstellung der ROOTROT-Web-Shell analysierte der Bedrohungsakteur die NERVE-Umgebung und initiierte die Kommunikation mit mehreren ESXi-Hosts, wodurch er die Kontrolle über die VMware-Infrastruktur von MITRE erlangte. Anschließend führten sie eine Golang-Hintertür namens BRICKSTORM und eine nicht näher genannte Web-Shell namens BEEFLUSH ein. BRICKSTORM ist eine Go-basierte Hintertür, die auf VMware vCenter-Server abzielt. Sie kann sich selbst als Webserver konfigurieren, Dateisysteme und Verzeichnisse manipulieren, Dateioperationen wie Hoch- und Herunterladen durchführen, Shell-Befehle ausführen und SOCKS-Relaying ermöglichen.

Diese Schritte stellten einen kontinuierlichen Zugriff sicher und ermöglichten es dem Angreifer, beliebige Befehle auszuführen und mit Command-and-Control-Servern zu kommunizieren. Der Angreifer nutzte SSH-Manipulationen und führte verdächtige Skripte aus, um die Kontrolle über die kompromittierten Systeme zu behalten.

Zusätzliche Bedrohungswerkzeuge, die zusammen mit ROOTROT verwendet werden

Weitere Analysen haben ergeben, dass der Bedrohungsakteur einen Tag nach der öffentlichen Bekanntgabe der beiden Schwachstellen am 11. Januar 2024 eine weitere Web-Shell namens WIREFIRE (auch bekannt als GIFTEDVISITOR) eingesetzt hat. Diese Bereitstellung zielte darauf ab, verdeckte Kommunikation und Datenexfiltration zu ermöglichen.

Zusätzlich zur Verwendung der BUSHWALK-Web-Shell zur Datenübertragung vom NERVE-Netzwerk an die Command-and-Control-Infrastruktur versuchte der Angreifer Berichten zufolge von Februar bis Mitte März 2024 auch, sich seitlich zu bewegen und innerhalb von NERVE bestehen zu bleiben.

Während ihrer Aktivitäten führten die Angreifer einen Ping-Befehl aus, der auf einen der Domänencontroller des Unternehmens von MITRE zielte, und versuchten, sich seitlich in die MITRE-Systeme einzudringen. Diese Versuche waren jedoch letztendlich erfolglos.