Alerta! Un nuevo malware ataca a los hipervisores VMware ESXi. Así lo han detectado los investigadores de Mandiant, que detallan que los ciberdelincuentes llevan a cabo los siguientes pasos:
- Enviar comandos al hipervisor que se redirigen a la máquina virtual invitada para su ejecución
- Transferencia de archivos entre el hipervisor ESXi y las máquinas invitadas en ejecución
- Gestión del servicio de registro en el hipervisor
- Ejecutar comandos arbitrarios y redirigirlos de una máquina invitada a otra que se ejecute en el mismo hipervisor
La naturaleza dirigida y evasiva de este ataque lleva a los expertos a creer que el grupo UNC3886, vinculado a China, lo llevó a cabo con fines de espionaje cibernético. En el ataque investigado por Mandiant, los atacantes utilizaron paquetes de instalación de vSphere (VIB) maliciosos para instalar dos puertas traseras en hipervisores ESXi rastreados como VIRTUALPITA y VIRTUALPIE.
Hipervisores VMware ESXi
Según los expertos, el ciberdelincuente necesita privilegios de nivel de administrador para el hipervisor ESXi para poder implementar malware. Vale la pena señalar que actualmente no se conocen exploits que se utilicen para obtener acceso inicial o implementar archivos VIB maliciosos.
Los VIB son conjuntos de archivos diseñados para administrar sistemas virtuales. Se pueden usar para crear tareas de inicio, reglas de firewall personalizadas o implementar archivos binarios personalizados después de reiniciar la máquina ESXi. Los VIB constan de los siguientes componentes:
- Archivo XML de descriptor (describe el contenido del VIB)
- Carga útil VIB (archivo .vgz)
- Archivo de firma: una firma digital utilizada para verificar el nivel de aceptación de los archivos VIB por parte del host
- Un archivo XML es una configuración que contiene enlaces a: carga útil para instalar
- Metadatos VIB como el nombre y la fecha de instalación
- Archivo de firma VIB
Nuevo malware ataca a los hipervisores VMware ESXi
Los investigadores de Mandiant descubrieron que los atacantes podían cambiar el parámetro Nivel de aceptación en el descriptor XML de «comunidad» a «socio» para dar la impresión de que fue creado por una persona de confianza.
Sin embargo, ESXi aún no permitía instalar el archivo vib, por lo que los hackers informáticos usaron el indicador «–force» para deshabilitar la verificación de confirmación y sobrescribir el historial. Esto permitió la instalación de archivos VIB maliciosos mantenidos por la comunidad.
VIRTUALPITA y VIRTUALPIE
Los ciberdelincuentes utilizaron esta técnica para instalar puertas traseras VIRTUALPITA y VIRTUALPIE en una máquina ESXi comprometida:
- VIRTUALPITA es una puerta trasera pasiva de 64 bits que crea un oyente en un número de puerto codificado en un servidor VMware ESXi. El malware admite la ejecución de comandos arbitrarios
- VIRTUALPIE es una puerta trasera de Python que admite la ejecución de comandos arbitrarios, la capacidad de transferir archivos y de crear un shell inverso.
Los investigadores también encontraron una pieza única de malware llamada VirtualGate que incluye un cuentagotas y una carga útil. El código malicioso estaba alojado en hipervisores infectados. Los investigadores de Mandiant ahora esperan que otros ciberdelincuentes utilicen la información del estudio para crear oportunidades similares.