Você está visualizando atualmente Hackers vinculados à China Usaram Webshell ROOTROT em Intrusão de Rede MITRE

Hackers vinculados à China Usaram Webshell ROOTROT em Intrusão de Rede MITRE

A empresa MITRE Corporation ofereceu mais detalhes sobre o ataque cibernético recentemente divulgado, afirmando que a primeira evidência da intrusão remonta a 31 de dezembro de 2023. O ataque, que veio à tona no mês passado, visou o Ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE) da MITRE por meio da exploração de duas vulnerabilidades zero-day do Ivanti Connect Secure, rastreadas como CVE-2023–46805 e CVE-2024–21887, respectivamente. “O adversário manobrou dentro da rede de pesquisa por meio da infraestrutura VMware usando uma conta de administrador comprometida, depois usou uma combinação de backdoors e web shells para manter a persistência e coletar credenciais”, disse a MITRE. Embora a organização tenha divulgado anteriormente que os atacantes realizaram reconhecimento de suas redes a partir de janeiro de 2024, a análise técnica mais recente coloca os primeiros sinais de compromisso no final de dezembro de 2023, com o adversário deixando um web shell baseado em Perl chamado ROOTROT para acesso inicial. ROOTROT, segundo a Mandiant, pertencente ao Google, está incorporado em um arquivo .ttc Connect Secure legítimo localizado em “/data/runtime/tmp/tt/setcookie.thtml.ttc” e é obra de um cluster de espionagem cibernética de origem chinesa chamado UNC5221, que também está ligado a outros web shells como BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE. Após a implantação do web shell, o ator malicioso delineou o ambiente NERVE e estabeleceu comunicação com vários hosts ESXi, estabelecendo controle sobre a infraestrutura VMware da MITRE e deixando um backdoor Golang chamado BRICKSTORM e um web shell não documentado anteriormente chamado BEEFLUSH. “Essas ações estabeleceram acesso persistente e permitiram que o adversário executasse comandos arbitrários e se comunicasse com servidores de comando e controle”, explicou o pesquisador da MITRE, Lex Crumpton. Uma análise adicional determinou que o ator malicioso também implantou outro web shell conhecido como WIREFIRE (também conhecido como GIFTEDVISITOR) um dia após a divulgação pública das duas falhas, em 11 de janeiro de 2024, para facilitar a comunicação oculta e a exfiltração de dados. Além de usar o web shell BUSHWALK para transmitir dados da rede NERVE para a infraestrutura de comando e controle em 19 de janeiro de 2024, o adversário tentou movimentar lateralmente e manter persistência dentro do NERVE de fevereiro a meados de março. “O adversário executou um comando de ping para um dos controladores de domínio corporativo da MITRE e tentou se movimentar lateralmente nos sistemas da MITRE, mas não obteve sucesso”, disse Crumpton. Se interessou pelo artigo? Siga-nos no Twitter e LinkedIn para ler mais conteúdos exclusivos que postamos.