بر اساس گزارشها مهاجمان پس ازتصرف سیستمها، برای به دست گرفتن کنترل سیستمهای آلوده و فرار از شناسایی از کاشتهایی در نرمافزار مجازیسازی VMware استفاده میکنند که قبلا دیده نشده بودهاند.
بخش اطلاعات تهدید Mandiant گوگل از آن به عنوان یک “اکوسیستم بدافزار جدید” یاد میکند که VMware ESXi، سرورهای Linux vCenter و ماشینهای مجازی ویندوز را تحت تاثیر قرار میدهد و به مهاجمان اجازه میدهد تا دسترسی دائمی به هایپروایزر و همچنین اجرای دستورات دلخواه را داشته باشند.
به گفته عرضه کننده امنیت سایبری، حملات Hyperjacking شامل استفاده از بستههای نصب مخرب vSphere (VIBs) برای نفوذ مخفیانه به دو ایمپلنت به نامهای VIRTUALPITA و VIRTUALPIE در هایپروایزر ESXi بود.
الکساندر ماروی، جرمی کوپن، توفیل احمد و جاناتان لپور، محققین Mandiant در یک گزارش جامع دو قسمتی میگویند: «لازم به ذکر است که این یک آسیبپذیری اجرای کد از راه دور خارجی نیست؛ مهاجم قبل از اینکه بتواند بدافزار را مستقر کند، به امتیازات سطح مدیر برای هایپروایزر ESXi نیاز دارد.
هیچ مدرکی مبنی بر سوء استفاده از یک آسیب پذیری روز صفر برای دسترسی به سرورهای ESXi وجود ندارد. با این حال، استفاده از VIB های تروجانیزه شده، یک قالب بسته نرم افزاری که برای تسهیل توزیع نرم افزار و مدیریت ماشین مجازی استفاده می شود، به سطح جدیدی از پیچیدگی اشاره می کند.
VMware فاش کرد: «این بدافزار از این جهت متفاوت است که از ماندگاری و مخفی ماندن پشتیبانی میکند، که با اهداف بازیگران تهدید بزرگتر و گروههای APT که نهادهای استراتژیک را هدف قرار میدهند تا مدتی ناشناخته باقی بمانند، سازگار است.»
در حالی که VIRTUALPITA دارای قابلیت هایی برای اجرای دستورات و همچنین انجام آپلود و دانلود فایل است، VIRTUALPIE یک درب پشتی پایتون است که از اجرای خط فرمان، انتقال فایل و ویژگی های پوسته معکوس پشتیبانی می کند.
همچنین نمونه بدافزاری به نام VIRTUALGATE در ماشینهای مجازی مهمان ویندوز کشف شده است که یک برنامه کاربردی مبتنی بر C است که یک بار جاسازی شده را اجرا میکند که قادر به استفاده از سوکتهای رابط ارتباطی ماشین مجازی VMware (VMCI) برای اجرای دستورات روی ماشین مجازی مهمان از یک هایپروایزر است.
Mandiant همچنین هشدار داد که تکنیکهای کمپین برای دور زدن کنترلهای امنیتی سنتی با بهرهبرداری از نرمافزار مجازیسازی، سطح حمله جدیدی را نشان میدهد که احتمالاً توسط گروههای هکر دیگر انتخاب میشود.
این حملات به یک خوشه تهدید ناشناخته و نوظهور با کد UNC3886 نسبت داده شده است که با توجه به ماهیت بسیار هدفمند نفوذها، انگیزه آنها احتمالاً جاسوسی است. همچنین با اطمینان کم ارزیابی کرد که UNC3886 دارای ارتباط چین است.