خانواده‌های بدافزار جدید که VMware ESXi Hypervisors را هدف قرار می‌دهند

بر اساس گزارش‌ها مهاجمان پس ازتصرف سیستم‌ها، برای به دست گرفتن کنترل سیستم‌های آلوده و فرار از شناسایی از کاشت‌هایی در نرم‌افزار مجازی‌سازی VMware استفاده می‌کنند که قبلا دیده‌ نشده بوده‌اند.

بخش اطلاعات تهدید Mandiant گوگل از آن به عنوان یک “اکوسیستم بدافزار جدید” یاد می‌کند که VMware ESXi، سرورهای Linux vCenter و ماشین‌های مجازی ویندوز را تحت تاثیر قرار می‌دهد و به مهاجمان اجازه می‌دهد تا دسترسی دائمی به هایپروایزر و همچنین اجرای دستورات دلخواه را داشته باشند.

به گفته عرضه کننده امنیت سایبری، حملات Hyperjacking شامل استفاده از بسته‌های نصب مخرب vSphere (VIBs) برای نفوذ مخفیانه به دو ایمپلنت به نام‌های VIRTUALPITA و VIRTUALPIE در هایپروایزر ESXi بود.

الکساندر ماروی، جرمی کوپن، توفیل احمد و جاناتان لپور، محققین Mandiant در یک گزارش جامع دو قسمتی می‌گویند: «لازم به ذکر است که این یک آسیب‌پذیری اجرای کد از راه دور خارجی نیست؛ مهاجم قبل از اینکه بتواند بدافزار را مستقر کند، به امتیازات سطح مدیر برای هایپروایزر ESXi نیاز دارد.

هیچ مدرکی مبنی بر سوء استفاده از یک آسیب پذیری روز صفر برای دسترسی به سرورهای ESXi وجود ندارد. با این حال، استفاده از VIB های تروجانیزه شده، یک قالب بسته نرم افزاری که برای تسهیل توزیع نرم افزار و مدیریت ماشین مجازی استفاده می شود، به سطح جدیدی از پیچیدگی اشاره می کند.

 

VMware فاش کرد: «این بدافزار از این جهت متفاوت است که از ماندگاری و مخفی ماندن پشتیبانی می‌کند، که با اهداف بازیگران تهدید بزرگ‌تر و گروه‌های APT که نهادهای استراتژیک را هدف قرار می‌دهند تا مدتی ناشناخته باقی بمانند، سازگار است.»

در حالی که VIRTUALPITA دارای قابلیت هایی برای اجرای دستورات و همچنین انجام آپلود و دانلود فایل است، VIRTUALPIE یک درب پشتی پایتون است که از اجرای خط فرمان، انتقال فایل و ویژگی های پوسته معکوس پشتیبانی می کند.

همچنین نمونه بدافزاری به نام VIRTUALGATE در ماشین‌های مجازی مهمان ویندوز کشف شده است که یک برنامه کاربردی مبتنی بر C است که یک بار جاسازی شده را اجرا می‌کند که قادر به استفاده از سوکت‌های رابط ارتباطی ماشین مجازی VMware (VMCI) برای اجرای دستورات روی ماشین مجازی مهمان از یک هایپروایزر است.

Mandiant همچنین هشدار داد که تکنیک‌های کمپین برای دور زدن کنترل‌های امنیتی سنتی با بهره‌برداری از نرم‌افزار مجازی‌سازی، سطح حمله جدیدی را نشان می‌دهد که احتمالاً توسط گروه‌های هکر دیگر انتخاب می‌شود.

این حملات به یک خوشه تهدید ناشناخته و نوظهور با کد UNC3886 نسبت داده شده است که با توجه به ماهیت بسیار هدفمند نفوذها، انگیزه آنها احتمالاً جاسوسی است. همچنین با اطمینان کم ارزیابی کرد که UNC3886 دارای ارتباط چین است.

پست‌های مشابه

Leave a Comment