Исследователи зафиксировали серию атак, в которых злоумышленники внедряют ранее неизвестные импланты прямо в среду виртуализации VMware, чтобы перехватить контроль над заражёнными системами и остаться незамеченными.
Подразделение Mandiant, входящее в состав Google, назвало находку «новой экосистемой вредоносного ПО». Она затрагивает гипервизоры VMware ESXi, серверы vCenter на Linux и виртуальные машины под Windows, позволяя атакующим закрепиться на гипервизоре и выполнять на нём произвольные команды.
Атака через доверенные VIB-пакеты
По данным Mandiant, речь идёт о так называемых hyperjacking-атаках. Для доставки вредоноса использовались подменённые установочные пакеты vSphere Installation Bundles (VIB) — штатный формат, через который распространяют ПО и управляют виртуальными машинами. С их помощью на гипервизоры ESXi были заброшены два импланта: VirtualPita и VirtualPie.
Важно понимать: это не уязвимость удалённого выполнения кода. Как подчёркивают исследователи Александр Марви, Джереми Коппен, Туфаил Ахмед и Джонатан Лепоре, чтобы установить вредонос, атакующему уже нужны права администратора на гипервизоре ESXi.
Признаков эксплуатации уязвимости нулевого дня для доступа к серверам ESXi нет. Но само применение троянизированных VIB-пакетов говорит о новом уровне подготовки нападающих.
«Злоумышленник получил доступ к инфраструктуре жертв заранее, с помощью техник, не связанных с VMware, — пояснил Марви изданию The Hacker News. — Уже находясь в сети, атакующие нашли и похитили учётные данные администратора VMware, вошли на серверы ESXi и развернули вредоносные VIB-файлы».
В самой VMware отметили, что этот вредонос отличается способностью работать одновременно скрытно и устойчиво. Такое поведение характерно для крупных группировок и APT, которые нацелены на стратегически важные организации и стремятся оставаться в системе незамеченными длительное время.
Что умеют импланты
- VirtualPita позволяет выполнять команды, а также загружать и выгружать файлы.
- VirtualPie — это бэкдор на Python с поддержкой запуска команд из командной строки, передачи файлов и функции reverse shell.
- VirtualGate обнаружен внутри гостевых виртуальных машин Windows. Это утилита на языке C, которая запускает встроенную полезную нагрузку. Она использует сокеты интерфейса межмашинного взаимодействия VMware (VMCI), чтобы выполнять команды на гостевой виртуальной машине со стороны хоста-гипервизора.
Масштаб и атрибуция
По словам Марви, вредонос был развёрнут менее чем в десяти организациях, однако это число, вероятно, вырастет по мере того, как компании начнут проверять свою инфраструктуру VMware. Из-за небольшого количества заражений пока неясно, нацелена ли кампания на конкретную отрасль.
Mandiant предупреждает: приёмы этой кампании, обходящие традиционные средства защиты за счёт атаки на ПО виртуализации, открывают новую поверхность атаки, которую с высокой вероятностью подхватят и другие группировки.
Атаки приписывают новому, ещё не классифицированному кластеру угроз под кодовым именем UNC3886. Судя по точечному характеру вторжений, его мотивация, скорее всего, связана со шпионажем. С низкой степенью уверенности исследователи связывают UNC3886 с Китаем.
Источник: The Hacker News.