ROOTROT マルウェア

最近、サイバー攻撃者がMITREのネットワーク実験、研究、仮想化環境（NERVE）ネットワークを標的にしました。国家レベルのグループであると考えられる攻撃者は、2024年1月からIvanti Connect Secureアプライアンスの2つのゼロデイ脆弱性を悪用しました。専門家は徹底的な調査を通じて、攻撃者が最初のアクセスを取得するためにROOTROTというPerlベースのWebシェルを展開したことを確認しました。

ROOTROT は、「/data/runtime/tmp/tt/setcookie.thtml.ttc」にある正規の Connect Secure .ttc ファイル内に隠されており、中国と関係のある UNC5221 として知られるサイバースパイ集団によるものだとされています。この同じハッカー集団は、BUSHWALK、CHAINLINE、FRAMESTING、LIGHTWIRE などの他の Web シェルにも関与しています。

感染は2つの脆弱性の悪用によって発生した

この攻撃では、CVE-2023-46805 と CVE-2024-21887 が悪用され、脅威の攻撃者が認証を回避し、侵害されたシステム上で任意のコマンドを実行できるようになりました。

最初のアクセスが取得されると、脅威アクターは侵害された管理者アカウントを使用して横方向に移動して VMware インフラストラクチャに侵入しました。この侵害により、バックドアと Web シェルの展開が容易になり、永続化と認証情報の収集が可能になりました。

NERVE は、ストレージ、コンピューティング、ネットワーク リソースを提供する非機密のコラボレーション ネットワークです。攻撃者は、侵入されたネットワークで偵察を行い、Ivanti Connect Secure のゼロデイ脆弱性を利用して仮想プライベート ネットワーク (VPN) の 1 つを悪用し、セッション ハイジャックによって多要素認証を回避したと疑われています。

ROOTROT Web シェルを展開した後、脅威アクターは NERVE 環境を分析し、複数の ESXi ホストとの通信を開始して、MITRE の VMware インフラストラクチャの制御を獲得しました。その後、BRICKSTORM という Go 言語のバックドアと、BEEFLUSH という非公開の Web シェルを導入しました。BRICKSTORM は、VMware vCenter サーバーをターゲットに設計された Go ベースのバックドアです。Web サーバーとして自身を構成し、ファイル システムとディレクトリを操作し、アップロードやダウンロードなどのファイル操作を実行し、シェル コマンドを実行し、SOCKS リレーを容易にすることができます。

これらの手順により、継続的なアクセスが確保され、攻撃者は任意のコマンドを実行し、コマンド アンド コントロール サーバーと通信できるようになりました。攻撃者は、SSH 操作を利用し、疑わしいスクリプトを実行して、侵害されたシステムの制御を維持しました。

ROOTROT と併せて使用される追加の脅迫ツール

さらに分析を進めると、脅威アクターは、2024 年 1 月 11 日に二重の脆弱性が公開された翌日に、WIREFIRE (別名 GIFTEDVISITOR) と呼ばれる別の Web シェルを展開したことが明らかになりました。この展開は、秘密の通信とデータの流出を可能にすることを目的としていました。

報告によると、攻撃者は、BUSHWALK Web シェルを使用して NERVE ネットワークからコマンド アンド コントロール インフラストラクチャにデータを送信するだけでなく、2024 年 2 月から 3 月中旬にかけて、NERVE 内で横方向の移動と持続性維持を試みていたとのことです。

攻撃者は活動中に、MITRE の企業ドメイン コントローラーの 1 つをターゲットにした ping コマンドを実行し、MITRE システムへの横方向の移動を試みましたが、これらの試みは最終的に失敗しました。