Malware raíz

Los ciberatacantes se han dirigido recientemente a las redes del entorno de virtualización, investigación y experimentación en red (NERVE) de MITRE. Los atacantes, que se cree que son un grupo de estado-nación, explotaron dos vulnerabilidades de día cero en los dispositivos Ivanti Connect Secure a partir de enero de 2024. A través de una investigación exhaustiva, los expertos han confirmado que los atacantes implementaron un shell web basado en Perl llamado ROOTROT para obtener acceso inicial. .

ROOTROT estaba oculto dentro de un archivo .ttc legítimo de Connect Secure ubicado en '/data/runtime/tmp/tt/setcookie.thtml.ttc' y se atribuye a un grupo de ciberespionaje con vínculos con China conocido como UNC5221. Este mismo grupo de hackers se ha asociado con otros shells web, incluidos BUSHWALK, CHAINLINE, FRAMESTING y LIGHTWIRE.

La infección siguió a la explotación de dos vulnerabilidades

El ataque implicó explotar CVE-2023-46805 y CVE-2024-21887, lo que permitió a los actores de amenazas eludir la autenticación y ejecutar comandos arbitrarios en el sistema comprometido.

Una vez que se obtuvo el acceso inicial, los actores de amenazas procedieron a moverse lateralmente e infiltrarse en la infraestructura de VMware utilizando una cuenta de administrador comprometida. Esta infracción facilitó el despliegue de puertas traseras y shells web para la persistencia y la recolección de credenciales.

NERVE es una red colaborativa no clasificada que ofrece recursos de almacenamiento, informática y redes. Se sospecha que los atacantes realizaron reconocimientos en las redes violadas, explotaron una de las redes privadas virtuales (VPN) utilizando las vulnerabilidades de día cero de Ivanti Connect Secure y eludieron la autenticación multifactor mediante el secuestro de sesión.

Después de implementar el shell web ROOTROT, el actor de amenazas analizó el entorno de NERVE e inició la comunicación con varios hosts ESXi, obteniendo control sobre la infraestructura VMware de MITRE. Luego introdujeron una puerta trasera de Golang llamada BRICKSTORM y un shell web no revelado llamado BEEFLUSH. BRICKSTORM es una puerta trasera basada en Go diseñada para apuntar a servidores VMware vCenter. Es capaz de configurarse como un servidor web, manipular directorios y sistemas de archivos, realizar operaciones de archivos como cargar y descargar, ejecutar comandos de shell y facilitar la retransmisión SOCKS.

Estos pasos aseguraron el acceso continuo, permitiendo al adversario ejecutar comandos arbitrarios y comunicarse con servidores de comando y control. El adversario empleó manipulación SSH y ejecutó scripts sospechosos para retener el control sobre los sistemas comprometidos.

Herramientas amenazadoras adicionales utilizadas junto con ROOTROT

Un análisis más detallado ha revelado que el actor de amenazas implementó otro shell web llamado WIREFIRE (también conocido como GIFTEDVISITOR) un día después de la divulgación pública de las vulnerabilidades duales el 11 de enero de 2024. Esta implementación tenía como objetivo permitir la comunicación encubierta y la exfiltración de datos.

Además de utilizar el shell web BUSHWALK para transmitir datos desde la red NERVE a su infraestructura de Comando y Control, el adversario supuestamente intentó moverse lateralmente y mantener la persistencia dentro de NERVE desde febrero hasta mediados de marzo de 2024.

Durante sus actividades, los atacantes ejecutaron un comando ping dirigido a uno de los controladores de dominio corporativos de MITRE e intentaron moverse lateralmente a los sistemas MITRE, aunque estos intentos finalmente no tuvieron éxito.