CVE-2024-37085: уязвимость в VMware выходит из-под контроля

Недавно устранённая уязвимость в гипервизорах VMware ESXi активно используется несколькими группировками, занимающимися вымогательством, для получения повышенных прав и развёртывания вредоносного ПО, шифрующего файлы.

Эти атаки используют уязвимость CVE-2024-37085 (оценка CVSS: 6.8), позволяющую обойти аутентификацию при интеграции с Active Directory и получить административный доступ к хосту.

Компания VMware, принадлежащая Broadcom, в июньском консультативном отчёте отметила, что злоумышленник с достаточными правами в Active Directory может получить полный доступ к ESXi-хосту, используя настройки AD для управления пользователями. Это возможно путём создания новой группы AD под названием «ESX Admins» и добавления в неё пользователя или переименования любой группы в домене в «ESX Admins».

Microsoft в своём анализе, опубликованном 29 июля, сообщила, что группы вымогателей, такие как Storm-0506, Storm-1175, Octo Tempest и Manatee Tempest, используют эту технику для развёртывания Akira и Black Basta. Исследователи подчеркнули, что ESXi-гипервизоры, подключенные к домену Active Directory, по умолчанию предоставляют полные административные права любому члену доменной группы с именем «ESX Admins». При этом ESXi не проверяет, существует ли такая группа на самом деле.

В одной из атак Storm-0506 на неназванную инженерную фирму в Северной Америке, злоумышленники использовали уязвимость для повышения прав на ESXi-гипервизорах после первоначального доступа, полученного с помощью QakBot и другой уязвимости в драйвере Windows CLFS ( CVE-2023-28252, оценка CVSS: 7.8).

Затем злоумышленники развернули Cobalt Strike и Pypykatz (Python-версию Mimikatz) для кражи учётных данных доменного администратора и дальнейшего распространения по сети. Для сохранения присутствия хакеры использовали имплант SystemBC и получили доступ к ESXi для развёртывания Black Basta.

Также зафиксированы попытки взлома RDP-подключений для бокового перемещения и дальнейшего развёртывания Cobalt Strike и SystemBC. Злоумышленники пытались изменить настройки Microsoft Defender Antivirus для избежания обнаружения.

Компания Mandiant, принадлежащая Google, сообщила, что финансово мотивированная группировка UNC4393 использует начальный доступ через бэкдор на C/C++ под кодовым названием ZLoader для развёртывания Black Basta, отходя от использования QakBot и DarkGate.

Mandiant отмечает, что UNC4393 демонстрирует готовность к сотрудничеству с несколькими дистрибутивными кластерами для достижения своих целей. Последняя волна активности ZLoader стартовала в начале этого года и в основном распространяется через вредоносную рекламу, что заметно отличается от предыдущего метода, нацеленного на фишинг.

В ходе атак используется начальный доступ для развёртывания Cobalt Strike Beacon и других инструментов для разведки. Для бокового перемещения используются RDP и SMB, а для сохранения присутствия — SystemBC.

Загрузчик ZLoader, который вернулся в арсенал злоумышленников в прошлом году, активно развивается. Новые вариации распространяются через бэкдор на PowerShell под названием PowerDash.

За последние годы вымогатели активно используют новые методы для максимизации воздействия и обхода обнаружения, всё чаще нацеливаясь на ESXi-гипервизоры и пользуясь новыми уязвимостями в интернет-ориентированных серверах.

Например, вымогатель Qilin, изначально разработанный на языке Go, теперь переписан на Rust для повышения безопасности. Недавние атаки с использованием Qilin нацелены на слабые места в Fortinet и Veeam Backup & Replication для начального доступа. Злоумышленники используют инструмент Killer Ultra для отключения программ EDR и очистки журналов событий Windows, чтобы скрыть следы компрометации.

Организациям рекомендуется устанавливать последние обновления ПО, соблюдать гигиену учётных данных, применять двухфакторную аутентификацию и защищать критически важные ресурсы с помощью соответствующих процедур мониторинга и планов восстановления.