Aan China gelinkte hackers gebruikten ROOTROT Webshell bij MITRE-netwerkinbraak

De MITRE Corporation heeft meer details gegeven over de onlangs bekendgemaakte cyberaanval en stelt dat het eerste bewijs van de inbraak nu dateert van 31 december 2023.

De aanval, die vorige maand aan het licht kwam, richtte zich op MITRE's Networked Experimentation, Research, and Virtualization Environment (NERVE) via de exploitatie van twee Ivanti Connect Secure zero-day kwetsbaarheden, gevolgd als CVE-2023-46805 en CVE-2024-21887. respectievelijk.

“De tegenstander manoeuvreerde binnen het onderzoeksnetwerk via de VMware-infrastructuur met behulp van een gecompromitteerd beheerdersaccount en gebruikte vervolgens een combinatie van backdoors en webshells om de persistentie te behouden en inloggegevens te verzamelen”, aldus MITRE.

Hoewel de organisatie eerder had bekendgemaakt dat de aanvallers vanaf januari 2024 verkenningen van haar netwerken hadden uitgevoerd, leverde de laatste technische diepgaande analyse eind december 2023 de eerste tekenen van een compromis op, waarbij de tegenstander een op Perl gebaseerde webshell genaamd ROOTROT liet vallen voor initiƫle toegang. .

ROOTROT, volgens Mandiant, eigendom van Google, is ingebed in een legitiem Connect Secure .ttc-bestand op “/data/runtime/tmp/tt/setcookie.thtml.ttc” en is het handwerk van een China-nexus cyberspionagecluster genaamd UNC5221 , dat ook is gekoppeld aan andere webshells zoals BUSHWALK, CHAINLINE, FRAMESTING en LIGHTWIRE.

Na de implementatie van de webshell profileerde de bedreigingsacteur de NERVE-omgeving en bracht communicatie tot stand met meerdere ESXi-hosts, waardoor uiteindelijk de controle over de VMware-infrastructuur van MITRE werd verkregen en een Golang-backdoor genaamd BRICKSTORM en een voorheen ongedocumenteerde webshell genaamd BEEFLUSH werden verwijderd.

“Deze acties zorgden voor permanente toegang en stelden de tegenstander in staat willekeurige commando's uit te voeren en te communiceren met command-and-control-servers”, legt MITRE-onderzoeker Lex Crumpton uit. “De tegenstander gebruikte technieken zoals SSH-manipulatie en het uitvoeren van verdachte scripts om de controle over de gecompromitteerde systemen te behouden.”

Verdere analyse heeft uitgewezen dat de bedreigingsactoren een dag na de publieke bekendmaking van de twee fouten op 11 januari 2024 ook een andere webshell hebben ingezet, bekend als WIREFIRE (ook bekend als GIFTEDVISITOR), om geheime communicatie en gegevensexfiltratie te vergemakkelijken.

Naast het gebruik van de BUSHWALK-webshell voor het verzenden van gegevens van het NERVE-netwerk naar de command-and-control-infrastructuur op 19 januari 2024, zou de tegenstander van februari tot half maart hebben geprobeerd zijwaartse beweging te maken en volharding binnen NERVE te behouden.

“De tegenstander voerde een ping-commando uit voor een van de bedrijfsdomeincontrollers van MITRE en probeerde lateraal naar MITRE-systemen te gaan, maar dat lukte niet”, aldus Crumpton.

Thijs Van der Does