Хакеры хорошо понимают работу платформы VMware и устанавливают бэкдоры на виртуальные машины.
Исследователи компании Mandiant подробно описали новую технику , используемую хакерами для получения административного доступа к гипервизорам VMware ESXi и захвата серверов vCenter, а также виртуальных машин для Windows и Linux для выполнения следующих действий:
Целенаправленный и уклончивый характер этой атаки наводит экспертов на мысль, что атака была осуществлена в целях кибершпионажа связанной с Китаем группировкой UNC3886.
В атаке, расследованной Mandiant, злоумышленники использовали вредоносные пакеты установки vSphere (vSphere Installation Bundles, VIBs) для установки двух бэкдоров на гипервизоры ESXi, отслеживаемых как VIRTUALPITA и VIRTUALPIE.
По словам экспертов, киберпреступнику необходимы привилегии уровня администратора для гипервизора ESXi, чтобы он смог развернуть вредоносное ПО. Стоит отметить, что на данный момент не известно об использовании эксплойтов для получения начального доступа или развертывания вредоносных VIB-файлов.
VIBs — это наборы файлов , предназначенные для управления виртуальными системами. Их можно использовать для создания задач запуска, настраиваемых правил брандмауэра или развертывания настраиваемых двоичных файлов после перезапуска машины ESXi. VIBs состоят из следующих компонентов:
XML-файл представляет собой конфигурацию, которая содержит ссылки на:
Исследователи Mandiant обнаружили, что злоумышленники могли изменить параметр Acceptance Level в XML-дескрипторе с «сообщество» на «партнер», чтобы создать впечатление, что он был создан доверенным лицом. Однако, ESXi по-прежнему не позволяла установить VIB-файл, тогда хакеры использовали флаг «–force», чтобы отключить проверку коммитов и выполнить перезапись истории. Это позволило установить вредоносные VIB-файлы, поддерживаемые сообществом.
Киберпреступники использовали эту технику для установки на скомпрометированную ESXi машину бэкдоров VIRTUALPITA и VIRTUALPIE:
Исследователи также обнаружили уникальный образец вредоносного ПО под названием VirtualGate, который включает дроппер и полезную нагрузку. Вредоносный код размещался на зараженных гипервизорах.
Исследователи Mandiant ожидают, что теперь другие киберпреступники будут использовать информацию, изложенную в исследовании, чтобы создавать аналогичные возможности.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале