Alerte! Un nouveau malware attaque les hyperviseurs VMware ESXi. Cela a été détecté par les chercheurs de Mandiant, qui détaillent que les cybercriminels effectuent les étapes suivantes :
- Envoyer des commandes à l’hyperviseur qui sont redirigées vers la machine virtuelle invitée pour exécution
- Transfert de fichiers entre l’hyperviseur ESXi et les machines invitées en cours d’exécution
- Gestion du service de journalisation dans l’hyperviseur
- Exécutez des commandes arbitraires et redirigez-les d’une machine invitée vers une autre exécutée sur le même hyperviseur
Le caractère ciblé et évasif de cette attaque amène les experts à penser que le groupe UNC3886, lié à la Chine, l’a menée à des fins de cyberespionnage. Dans l’attaque enquêtée par Mandiant, les attaquants ont utilisé des packages d’installation vSphere (VIB) malveillants pour installer deux portes dérobées sur les hyperviseurs ESXi suivis comme VIRTUALPITA et VIRTUALPIE.
Hyperviseurs VMware ESXi
Selon les experts, le cybercriminel a besoin de privilèges de niveau administrateur pour que l’hyperviseur ESXi puisse déployer des logiciels malveillants. Il convient de noter qu’il n’existe actuellement aucun exploit connu utilisé pour obtenir un accès initial ou déployer des fichiers VIB malveillants.
Les VIB sont des ensembles de fichiers conçus pour gérer les systèmes virtuels. Ils peuvent être utilisés pour créer des tâches de démarrage, des règles de pare-feu personnalisées ou déployer des binaires personnalisés après le redémarrage de la machine ESXi. Les VIB sont constitués des composants suivants :
- Fichier XML descripteur (décrit le contenu du VIB)
- Charge utile VIB (fichier .vgz)
- Fichier de signature : une signature numérique utilisée pour vérifier le niveau d’acceptation par l’hôte des fichiers VIB.
- Un fichier XML est une configuration qui contient des liens vers : charge utile à installer
- Métadonnées VIB telles que le nom et la date d’installation
- Fichier de signature VIB
Un nouveau malware attaque les hyperviseurs VMware ESXi
Les chercheurs de Mandiant ont découvert que les attaquants pouvaient modifier le paramètre Acceptance Level dans le descripteur XML de « communauté » à « partenaire » pour donner l’impression qu’il a été créé par une personne de confiance.
Cependant, ESXi n’autorisait toujours pas l’installation du fichier vib, les pirates ont donc utilisé l’indicateur « –force » pour désactiver la vérification de validation et écraser l’historique. Cela a permis l’installation de fichiers VIB malveillants gérés par la communauté.
VIRTUALPITA et VIRTUALPIE
Les cybercriminels ont utilisé cette technique pour installer des portes dérobées VIRTUALPITA et VIRTUALPIE sur une machine ESXi compromise :
- PITA VIRTUELLE est une porte dérobée passive de 64 bits qui crée un écouteur sur un numéro de port codé en dur sur un serveur VMware ESXi. Les logiciels malveillants prennent en charge l’exécution de commandes arbitraires
- PIÈCE VIRTUELLE est une porte dérobée Python qui prend en charge l’exécution de commandes arbitraires, la possibilité de transférer des fichiers et de créer un shell inversé.
Les chercheurs ont également découvert un logiciel malveillant unique appelé VirtualGate, qui comprend un compte-gouttes et une charge utile. Le code malveillant était hébergé sur des hyperviseurs infectés. Les chercheurs de Mandiant espèrent désormais que d’autres cybercriminels utiliseront les informations de l’étude pour créer des opportunités similaires.