Hackers Ligados à China Usaram Webshell ROOTROT em Intrusão de Rede do MITRE – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

A Corporação MITRE ofereceu mais detalhes sobre o recente ciberataque divulgado, afirmando que as primeiras evidências da intrusão remontam a 31 de dezembro de 2023. O ataque, que veio à tona no mês passado, visou o Ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) da MITRE por meio da exploração de duas vulnerabilidades zero day Ivanti Connect Secure, rastreadas como CVE-2023–46805 e CVE-2024–21887, respectivamente. “O adversário manobrou dentro da rede de pesquisa por meio da infraestrutura VMware usando uma conta de administrador comprometida, e então empregou uma combinação de portas de fundo e shells da web para manter a persistência e colher credenciais”, disse a MITRE. Enquanto a organização havia divulgado anteriormente que os atacantes realizaram reconhecimento de suas redes a partir de janeiro de 2024, a última análise técnica colocou os primeiros sinais de comprometimento no final de dezembro de 2023, com o adversário deixando um shell da web baseado em Perl chamado ROOTROT para acesso inicial. ROOTROT, segundo a Mandiant, é incorporado em um arquivo .ttc Connect Secure legítimo localizado em “/data/runtime/tmp/tt/setcookie.thtml.ttc” e é obra de um cluster de espionagem cibernética nexus China denominado UNC5221, que também está ligado a outros shells da web como BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE. Após a implantação do shell da web, o ator de ameaças mapeou o ambiente NERVE e estabeleceu comunicação com vários hosts do ESXi, estabelecendo finalmente o controle sobre a infraestrutura VMware da MITRE e deixando um backdoor Golang chamado BRICKSTORM e um shell da web previamente não documentado referido como BEEFLUSH. “Essas ações estabeleceram acesso persistente e permitiram que o adversário executasse comandos arbitrários e se comunicasse com servidores de controle e comando”, explicou o pesquisador da MITRE Lex Crumpton. “O adversário utilizou técnicas como manipulação SSH e execução de scripts suspeitos para manter o controle sobre os sistemas comprometidos.” Análises adicionais determinaram que o ator de ameaças também implantou outro shell de web conhecido como WIREFIRE (também GIFTEDVISITOR) um dia após a divulgação pública das duas falhas, em 11 de janeiro de 2024, para facilitar a comunicação e exfiltração de dados de forma secreta. Além de usar o shell da web BUSHWALK para transmitir dados da rede NERVE para a infraestrutura de controle e comando em 19 de janeiro de 2024, o adversário é dito ter tentado movimentar-se lateralmente e manter a persistência dentro da NERVE de fevereiro a meados de março. “O adversário executou um comando de ping para um dos controladores de domínio corporativo da MITRE e tentou mover-se lateralmente para os sistemas da MITRE, mas não teve sucesso”, disse Crumpton.

Você também pode gostar

Novo Estudo de Caso: O Comentário Malicioso

Cinco Princípios Centrais das Práticas Altamente Eficazes de DevSecOps

Atualize Chrome Agora: 4ª Vulnerabilidade Zero-Day Descoberta em Maio de 2024.