|
已经发现威胁行为体在VMware的虚拟化软件中部署了前所未有的后妥协植入,以控制受感染的系统并逃避检测。 谷歌的Mandiant威胁情报部门称其为一个“新型恶意软件生态系统”,它影响VMware ESXi、Linux vCenter服务器和Windows虚拟机,使攻击者能够持久访问管理程序并执行任意命令。 根据网络安全供应商的说法,超级劫持攻击涉及使用恶意vSphere安装包(VIB)在ESXi虚拟机监控程序上潜入两个植入,分别称为VIRTUALPITA和VIRTUALPIE。 Mandiant研究人员Alexander Marvi、Jeremy Koppen、Tufail Ahmed和Jonathan Lepore在一份由两部分组成的详尽报告中表示:“需要强调的是,这不是一个外部远程代码执行漏洞;攻击者需要ESXi管理程序的管理员级权限才能部署恶意软件”。 没有证据表明利用零日漏洞访问ESXi服务器。这就是说,特洛伊木马VIB(一种用于促进软件分发和虚拟机管理的软件包格式)的使用表明了一种新的复杂程度。 “威胁行为人之前通过与VMware无关的攻击技术访问了受害者环境,”Marvi告诉《黑客新闻》。“通过已建立的网络访问权限,他们识别并窃取了VMware管理员凭据,并使用该凭据登录ESXi服务器并部署恶意VIB文件”。
VMware透露:“这种恶意软件的不同之处在于,它支持保持持久性和隐蔽性,这与更大的威胁行为体和APT集团的目标一致,这些威胁行为体以战略机构为目标,意图在一段时间内不被发现”。 虽然VIRTUALPITA具有执行命令以及执行文件上传和下载的功能,但VIRTUALPIE是Python后门,支持命令行执行、文件传输和反向shell功能。 还发现了Windows来宾虚拟机中一个名为VIRTUALGATE的恶意软件示例,这是一个基于C语言的实用程序,它执行一个嵌入式有效负载,能够使用VMware的虚拟机通信接口(VMCI)套接字从虚拟机监控程序主机在来宾虚拟计算机上运行命令。 根据Marvi的说法,据称该恶意软件部署在不到十家公司,尽管随着公司开始检查其VMware基础架构,预计该数量将增加。鉴于感染人数较低,目前尚不清楚袭击是否针对特定部门。 Mandiant还警告说,该运动利用虚拟化软件绕过传统安全控制的技术代表了一种新的攻击表面,可能会被其他黑客组织利用。 这些攻击被归因于一个代号为UNC3886的未分类的新兴威胁集群,考虑到入侵的高度针对性,其动机很可能是间谍驱动的。它进一步以较低的信心评估了UNC3886与中国的关系。
| 
2023-3-20 10:49:11
