خانه » هکرهای چینی از شل وب ROOTROT در نفوذ به شبکه MITER استفاده کردند

هکرهای چینی از شل وب ROOTROT در نفوذ به شبکه MITER استفاده کردند

توسط Vulnerbyte
92 بازدید
شل وبROOTROT - نفوذ به شبکه MITER

شرکت MITER، اخیرا اطلاعاتی را در خصوص یک حمله سایبری که اولین بار در اواخر دسامبر 2023 شناسایی شده بود، منتشر کرد. حمله مورد نظر محیط آزمایشگاهی، تحقیقاتی و مجازی سازی شبکه (NERVE) این شرکت را با استفاده از دو آسیب ‌پذیری روز صفر (CVE-2023–46805  و CVE-2024–21887) در Ivanti Connect Secure، مورد هدف قرار داد.

مهاجم از طریق زیرساخت VMware و با استفاده از یک حساب کاربری admin هک شده، به شبکه تحقیقاتی نفوذ نموده و از ترکیبی از بکدورها و شل های وب برای حفظ دسترسی استفاده کرده است.

اولین نشانه‌های نفوذ به اواخر دسامبر 2023 باز می‌گردد، زمانی که مهاجمان یک شل وب مبتنی بر Perl به نام ROOTROT را برای دسترسی اولیه مستقر کردند.

ROOTROT، درون فایل ” Connect Secure .ttc” واقع در ” /data/runtime/tmp/tt/setcookie.thtml.ttc” قرار دارد و متعلق به یک گروه جاسوسی سایبری چینی به نام UNC5221 است. این گروه همچنین با سایر شل های وب از جمله BUSHWALK، CHAINLINE، FRAMESTING و LIGHTWIRE مرتبط می‌باشد.

مهاجمان پس از استقرار شل وب، با چندین میزبان ESXi ارتباط برقرار کردند و کنترل زیرساخت VMware شرکت MITRE را در اختیار گرفتند.

آنها سپس یک بکدور مبتنی بر Golang به نام BRICKSTORM و یک شل وب جدید به نام BEEFLUSH را مستقر کردند که به آنها اجازه می داد دستورات دلخواه را اجرا و با سرورهای فرماندهی و کنترل ارتباط برقرار کنند.

مهاجمان از تکنیک‌هایی مانند تغییر در SSH و اجرای اسکریپت های مشکوک برای کنترل سیستم های هک شده استفاده نمودند. آنها همچنین یک شل وب دیگر به نام WIREFIRE  (معروف به GIFTEDVISITOR) را یک روز پس از افشای عمومی این دو آسیب پذیری در یازدهم ژانویه 2024، برای تسهیل ارتباطات مخفی و استخراج داده ها مستقر کردند.

مهاجمان علاوه بر استفاده از شل وب BUSHWALK برای انتقال داده‌ها از شبکه NERVE به زیرساخت‌ فرماندهی و کنترل در نوزدهم ژانویه 2024، از فوریه تا اواسط مارس نیز به حرکت جانبی در شبکه NERVE و حفظ دسترسی خود ادامه دادند. با این حال، آنها در تلاش های اخیر خود ناموفق بودند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید