Malwares encobertos emergentes podem ter como alvo ambientes VMware para permitir que criminosos obtenham acesso administrativo persistente a hipervisores, transfiram arquivos e executem comandos arbitrários em máquinas virtuais, de acordo com VMware e Mandiant, que descobriram um software tão desagradável em estado selvagem anteriormente neste ano.
Mandiant, a equipe de inteligência de ameaças agora de propriedade do Google, atribuiu as infecções a um grupo não categorizado chamado UNC3886 e diz suspeitar que a motivação dos bisbilhoteiros seja espionagem. A Mandiant também afirma “com pouca confiança” que a gangue tem ligações com a China.
Em pesquisa publicada hoje, a Mandiant observou que, para desenvolver e implantar esse spyware, seu mentor precisaria de um nível bastante profundo de compreensão do sistema operacional ESXi da VMware, bem como privilégios de nível de administrador para a instalação do hipervisor ESXi de uma vítima.
Isso significa que não estamos falando de uma nova vulnerabilidade de execução remota de código e não é uma tarefa especialmente fácil intrusão, mas seria factível por atores do estado-nação.
A boa notícia é que (até agora) os pesquisadores de segurança estão cientes de menos “de dez organizações” que foram comprometidas por o malware, e não há evidências de uma vulnerabilidade de dia zero sendo usada para obter acesso ou implantar o malware.
No entanto, “prevemos que vários outros agentes de ameaças usarão as informações descritas neste pesquisa para começar a construir capacidades semelhantes”, admitiu Mandiant, e recomendou que as organizações usi As infraestruturas ESXi e VMware seguem as etapas de proteção sugeridas, bem como as orientações da VMware.
“Esse malware difere porque suporta a permanência persistente e oculta, o que é consistente com os objetivos de agentes de ameaças maiores e Grupos de APT que visam instituições estratégicas com a intenção de permanecer sem serem detectados por algum tempo”, observou a gigante da virtualização em seu comunicado.
‘Persistente e encoberta’
Antes dessa descoberta, tanto a VMware quanto a Mandiant dizem que não tinham visto malware persistente com esses recursos implantados em hosts de hypervisor VMware ou sistemas convidados em estado selvagem.
A Mandiant encontrou o malware pela primeira vez durante uma investigação de intrusão para um cliente conjunto com a VMware. Os caçadores de ameaças identificaram comandos de invasores provenientes do processo legítimo do VMware Tools em uma VM do Windows hospedada em um hipervisor VMware ESXi.
Os servidores VMware ESXi geralmente não suportam detecção e resposta de endpoint produtos. Isso torna mais fácil para espiões e outros malfeitores ficarem nesses sistemas sem serem detectados, permitindo que eles bisbilhotem arquivos secretamente e roubem dados.
De acordo com a Mandiant, ao analisar o perfil de inicialização dos hipervisores ESXi, seus pesquisadores descobriram uma “técnica nunca vista” que usava pacotes de instalação maliciosos do vSphere (“VIBs”) para instalar vários backdoors .
Os VIBs VMware são usados por administradores para atualizar e manter sistemas. Nesse caso, no entanto, o invasor usou pacotes VIB com níveis de aceitação falsificados para manter o acesso aos hipervisores ESXi e implantar malware.
A loja de segurança nomeou o novo malware VirtualPITA (ESXi e Linux), VirtualPIE (ESXi) e VirtualGATE (Windows).
VirtualPITA e VirtualPIE
Os backdoors do servidor VMware ESXi, VirtualPITA e VirtualPIE, ambos têm características únicas. O VirtualPITA é um backdoor de 64 bits que usa nomes e portas de serviço VMware para se disfarçar como um serviço legítimo. Ele permite que o invasor execute comandos arbitrários, faça upload e download de arquivos e inicie e interrompa o serviço syslog do host, vmsyslogd.
“Variantes desse malware foram encontradas para ouvir em uma interface de comunicação de máquina virtual ( VMCI) e registre essa atividade no arquivo sysclog”, escreveu Mandiant.
Enquanto isso, o VirtualPIE é escrito em Python e gera um ouvinte IPv6 daemonizado em uma porta codificada em um servidor VMware ESXi. Seus recursos incluem execução arbitrária de linha de comando, transferência de arquivos e script de shell reverso. Ele também usa RC4 para criptografar as comunicações.
Ouvindo no Linux, VMs Windows
A Mandiant também descobriu duas outras amostras do VirtualPita ouvindo na porta TCP 7475 em Sistemas vCenter baseados em Linux disfarçados de binários legítimos. E, finalmente, as VMs convidadas do Windows comprometidas que foram hospedadas pelo hipervisor infectado tinham seu próprio malware exclusivo que a Mandiant chamou de VirtualGATE. Está escrito em C e inclui um conta-gotas e uma carga útil.
Como Mandiant explicou: “O dropper de memória apenas desofusca uma carga de DLL de segundo estágio que usa soquetes de interface de comunicação de máquina virtual (VMCI) do VMware para executar comandos em uma máquina virtual convidada de um host de hipervisor ou entre máquinas virtuais convidadas no mesmo host.”
-
- Os pesquisadores de segurança da informação da China obedeceram a Pequim e pararam de relatar vulnerabilidades … ou não?
VMware confirma que Carbon Black causa BSODs, loops de inicialização no Windows
- espiões vinculados à China usou seis backdoors para roubar informações de organizações empresariais industriais e de defesa
- Quem está explorando o VMware agora? Provavelmente o Rocket Kitten do Irã, para citar um
