Tin tặc Trung Quốc sử dụng ROOTROT Webshell để xâm nhập mạng MITRE

 Tập đoàn MITRE đã cung cấp thêm chi tiết về cuộc tấn công mạng được tiết lộ gần đây, nói rằng bằng chứng đầu tiên về sự xâm nhập hiện đã có từ ngày 31/12/2023. Cuộc tấn công,  được đưa ra ánh sáng vào tháng trước , đã chỉ ra Môi trường thử nghiệm, nghiên cứu và ảo hóa mạng (NERVE) của MITRE thông qua việc khai thác hai lỗ hổng zero-day Ivanti Connect Secure được theo dõi lần lượt là CVE-2023–46805 và CVE-2024–21887. "Đối thủ đã điều động trong mạng lưới nghiên cứu thông qua cơ sở hạ tầng VMware bằng cách sử dụng tài khoản quản trị viên bị xâm nhập, sau đó sử dụng kết hợp backdoor và web shell để duy trì sự bền bỉ và thu thập thông tin đăng nhập", MITRE  nói . Mặc dù tổ chức này trước đó đã tiết lộ rằng những kẻ tấn công đã thực hiện trinh sát các mạng của mình bắt đầu từ tháng 1/2024, nhưng lần lặn sâu kỹ thuật mới nhất đặt dấu hiệu thỏa hiệp sớm nhất vào cuối tháng 12/2023, với việc đối thủ bỏ một trình bao web dựa trên Perl có tên  ROOTROT  để truy cập ban đầu. ROOTROT, theo Mandiant thuộc sở hữu của Google, được nhúng vào tệp .ttc Connect Secure hợp pháp nằm ở "/data/runtime/tmp/tt/setcookie.thtml.ttc" và là sản phẩm thủ công của một cụm gián điệp mạng China-nexus có tên là UNC5221, cũng được liên kết với các web shell khác như BUSHWALK, CHAINLINE, FRAMESTING và LIGHTWIRE. Sau khi triển khai web shell, tác nhân đe dọa đã mô tả môi trường NERVE và thiết lập liên lạc với nhiều máy chủ ESXi, cuối cùng thiết lập quyền kiểm soát cơ sở hạ tầng VMware của MITRE và thả một backdoor Golang có tên BRICKSTORM và một web shell không có giấy tờ trước đây được gọi là BEEFLUSH. "Những hành động này đã thiết lập quyền truy cập liên tục và cho phép đối thủ thực hiện các lệnh tùy ý và liên lạc với các máy chủ chỉ huy và kiểm soát", nhà nghiên cứu Lex Crumpton của MITRE giải thích. "Kẻ thù đã sử dụng các kỹ thuật như thao túng SSH và thực thi các tập lệnh đáng ngờ để duy trì quyền kiểm soát các hệ thống bị xâm nhập." Phân tích sâu hơn đã xác định rằng tác nhân đe dọa cũng đã triển khai một trình bao web khác được gọi là  WIREFIRE  (hay còn gọi là GIFTEDVISITOR) một ngày sau khi tiết lộ công khai hai lỗ hổng vào ngày 11 tháng 1 năm 2024, để tạo điều kiện liên lạc bí mật và rò rỉ dữ liệu. Bên cạnh việc sử dụng web  shell BUSHWALK  để truyền dữ liệu từ mạng NERVE đến cơ sở hạ tầng chỉ huy và kiểm soát vào ngày 19/1/2024, đối thủ được cho là đã cố gắng di chuyển ngang và duy trì sự kiên trì trong NERVE từ tháng 2 đến giữa tháng 3. "Đối thủ đã thực hiện lệnh ping cho một trong những bộ điều khiển miền của công ty MITRE và cố gắng di chuyển ngang vào các hệ thống MITRE nhưng không thành công", Crumpton nói.