China-Hacker kamen beim MITRE-Netzwerkeinbruch über ROOTROT-Webshell
Die MITRE Corporation hat Einzelheiten zu einem kürzlich bekannt gewordenen Cyberangriff bekannt gegeben. Erste Beweise deuten darauf hin, dass das Eindringen bis zum 31. Dezember 2023 zurückreicht. Der Angriff betraf das MITRE Networked Experimentation, Research, and Virtualization Environment (NERVE) und nutzte zwei Zero-Day-Schwachstellen von Ivanti Connect Secure aus (CVE-2023-46805 und CVE-2024-21887).
Wie MITRE mitteilte, nutzte der Angreifer ein gehacktes Administratorkonto in der VMware-Infrastruktur, um ins Forschungsnetzwerk zu gelangen. Dort setzte er Backdoors und Web-Shells ein, um Zugriff zu behalten und Anmeldeinformationen zu stehlen. Die ersten Anzeichen für den Angriff reichen bis Ende Dezember 2023 zurück, als die Akteure eine Perl-basierte Web-Shell namens ROOTROT einsetzten.
ROOTROT ist in einer legitimen Connect Secure-.ttc-Datei versteckt, die unter „/data/runtime/tmp/tt/setcookie.thtml.ttc“ zu finden ist. Laut dem Google-Unternehmen Mandiant wurde ROOTROT vom chinesischen Cyberspionagecluster UNC5221 entwickelt. Dieser Cluster ist auch für andere Web-Shells wie BUSHWALK, CHAINLINE, FRAMESTING und LIGHTWIRE bekannt.
Nachdem die Web-Shell bereitgestellt war, hat der Angreifer ein Profil der NERVE-Umgebung erstellt und begann, mit mehreren ESXi-Hosts zu kommunizieren. Dadurch erlangte er letztendlich die Kontrolle über die VMware-Infrastruktur von MITRE und schlich die Golang-Backdoor BRICKSTORM und eine bisher nicht dokumentierte Web-Shell namens BEEFLUSH ein.
„Diese Aktionen gaben dem Angreifer dauerhaften Zugang und erlaubten es ihm, beliebige Befehle auszuführen und mit Command-and-Control-Servern zu kommunizieren“, so MITRE-Forscher Lex Crumpton. „Der Angreifer nutzte Techniken wie SSH-Manipulation und das Ausführen verdächtiger Skripte, um die Kontrolle über die angegriffenen Systeme zu behalten.
Weitere Untersuchungen ergaben, dass die Cyber-Kriminellen einen Tag nach der öffentlichen Bekanntgabe der beiden Schwachstellen am 11. Januar 2024 eine weitere Web-Shell einsetzte – WIREFIRE (auch bekannt als GIFTEDVISITOR) – um verdeckte Kommunikation und Datenexfiltration zu ermöglichen.
Am 19. Januar 2024 nutzte der Angreifer die BUSHWALK-Web-Shell, um Daten aus dem NERVE-Netzwerk an die Kommando- und Kontrollinfrastruktur zu übertragen. In den darauffolgenden Monaten, von Februar bis Mitte März, versuchte der Angreifer, sich innerhalb des NERVE-Systems zu bewegen und dort zu verbleiben.
„Der Angreifer führte einen Ping-Befehl für einen der Domänencontroller von MITRE aus und versuchte seitlich in die Systeme von MITRE einzudringen, was ihm jedoch nicht gelang“, so Crumpton.