Новое вредоносное ПО сохраняется в гипервизорах VMware ESXi

[Artifact]

Хакеры хорошо понимают работу платформы VMware и устанавливают бэкдоры на виртуальные машины.

Исследователи компании Mandiant подробно описали новую технику , используемую хакерами для получения административного доступа к гипервизорам VMware ESXi и захвата серверов vCenter, а также виртуальных машин для Windows и Linux для выполнения следующих действий:

• Отправка гипервизору команд, которые перенаправляются на гостевую виртуальную машину для выполнения;

• Передача файлов между гипервизором ESXi и запущенными гостевыми машинами;

• Управление службой ведения журналов на гипервизоре;

• Выполнение произвольных команд и их перенаправление с одной гостевой машины на другую, работающую на том же гипервизоре.

Целенаправленный и уклончивый характер этой атаки наводит экспертов на мысль, что атака была осуществлена ​​в целях кибершпионажа связанной с Китаем группировкой UNC3886.
В атаке, расследованной Mandiant, злоумышленники использовали вредоносные пакеты установки vSphere (vSphere Installation Bundles, VIBs) для установки двух бэкдоров на гипервизоры ESXi, отслеживаемых как VIRTUALPITA и VIRTUALPIE.
По словам экспертов, киберпреступнику необходимы привилегии уровня администратора для гипервизора ESXi, чтобы он смог развернуть вредоносное ПО. Стоит отметить, что на данный момент не известно об использовании эксплойтов для получения начального доступа или развертывания вредоносных VIB-файлов.

VIBs — это наборы файлов , предназначенные для управления виртуальными системами. Их можно использовать для создания задач запуска, настраиваемых правил брандмауэра или развертывания настраиваемых двоичных файлов после перезапуска машины ESXi. VIBs состоят из следующих компонентов:

• XML-файл дескриптора (описывает содержимое VIB);

• Полезная нагрузка VIB (архив .vgz);

• Файл подписи — цифровая подпись, используемая для проверки уровня принятия хостом VIB-файлов.

XML-файл представляет собой конфигурацию, которая содержит ссылки на:

• Полезную нагрузку для установки;

• Метаданные VIB, такие как имя и дата установки;

• Файл подписи VIB.

Исследователи Mandiant обнаружили, что злоумышленники могли изменить параметр Acceptance Level в XML-дескрипторе с «сообщество» на «партнер», чтобы создать впечатление, что он был создан доверенным лицом. Однако, ESXi по-прежнему не позволяла установить VIB-файл, тогда хакеры использовали флаг «–force», чтобы отключить проверку коммитов и выполнить перезапись истории. Это позволило установить вредоносные VIB-файлы, поддерживаемые сообществом.
Киберпреступники использовали эту технику для установки на скомпрометированную ESXi машину бэкдоров VIRTUALPITA и VIRTUALPIE:

• VIRTUALPITA — это 64-битный пассивный бэкдор, который создает прослушиватель на жестко заданном номере порта на сервере VMware ESXi. Вредоносное ПО поддерживает выполнение произвольных команд;

• VIRTUALPIE — это Python бэкдор, который поддерживает произвольное выполнение команд, возможность передачи файлов и возможность создания обратной оболочки.

Исследователи также обнаружили уникальный образец вредоносного ПО под названием VirtualGate, который включает дроппер и полезную нагрузку. Вредоносный код размещался на зараженных гипервизорах.
Исследователи Mandiant ожидают, что теперь другие киберпреступники будут использовать информацию, изложенную в исследовании, чтобы создавать аналогичные возможности.