شرکت MITER، اخیرا اطلاعاتی را در خصوص یک حمله سایبری که اولین بار در اواخر دسامبر 2023 شناسایی شده بود، منتشر کرد. حمله مورد نظر محیط آزمایشگاهی، تحقیقاتی و مجازی سازی شبکه (NERVE) این شرکت را با استفاده از دو آسیب پذیری روز صفر (CVE-2023–46805 و CVE-2024–21887) در Ivanti Connect Secure، مورد هدف قرار داد.
مهاجم از طریق زیرساخت VMware و با استفاده از یک حساب کاربری admin هک شده، به شبکه تحقیقاتی نفوذ نموده و از ترکیبی از بکدورها و شل های وب برای حفظ دسترسی استفاده کرده است.
اولین نشانههای نفوذ به اواخر دسامبر 2023 باز میگردد، زمانی که مهاجمان یک شل وب مبتنی بر Perl به نام ROOTROT را برای دسترسی اولیه مستقر کردند.
ROOTROT، درون فایل ” Connect Secure .ttc” واقع در ” /data/runtime/tmp/tt/setcookie.thtml.ttc” قرار دارد و متعلق به یک گروه جاسوسی سایبری چینی به نام UNC5221 است. این گروه همچنین با سایر شل های وب از جمله BUSHWALK، CHAINLINE، FRAMESTING و LIGHTWIRE مرتبط میباشد.
مهاجمان پس از استقرار شل وب، با چندین میزبان ESXi ارتباط برقرار کردند و کنترل زیرساخت VMware شرکت MITRE را در اختیار گرفتند.
آنها سپس یک بکدور مبتنی بر Golang به نام BRICKSTORM و یک شل وب جدید به نام BEEFLUSH را مستقر کردند که به آنها اجازه می داد دستورات دلخواه را اجرا و با سرورهای فرماندهی و کنترل ارتباط برقرار کنند.
مهاجمان از تکنیکهایی مانند تغییر در SSH و اجرای اسکریپت های مشکوک برای کنترل سیستم های هک شده استفاده نمودند. آنها همچنین یک شل وب دیگر به نام WIREFIRE (معروف به GIFTEDVISITOR) را یک روز پس از افشای عمومی این دو آسیب پذیری در یازدهم ژانویه 2024، برای تسهیل ارتباطات مخفی و استخراج داده ها مستقر کردند.
مهاجمان علاوه بر استفاده از شل وب BUSHWALK برای انتقال دادهها از شبکه NERVE به زیرساخت فرماندهی و کنترل در نوزدهم ژانویه 2024، از فوریه تا اواسط مارس نیز به حرکت جانبی در شبکه NERVE و حفظ دسترسی خود ادامه دادند. با این حال، آنها در تلاش های اخیر خود ناموفق بودند.
