TamcauchuY
Rìu Chiến Chấm
Ngày 01/10/22
Các tin tặc đã bị phát hiện triển khai cấy ghép mã độc hại sau khi xâm nhập vào phần mềm ảo VMware để chiếm quyền kiểm soát các hệ thống bị nhiễm và tránh bị phát hiện. Bộ phận tình báo về mối đe dọa Mandiant của Google gọi nó là "hệ sinh thái phần mềm độc hại mới" tác động đến VMware ESXi, máy chủ Linux vCenter và máy ảo Windows, cho phép những kẻ tấn công duy trì quyền truy cập liên tục vào Hypervisors cũng như thực hiện các lệnh tùy ý.
Theo nhà cung cấp bảo mật mạng, các cuộc siêu tấn công liên quan đến việc sử dụng gói cài đặt vSphere độc hại (VIB) để lẻn lút cài đặt hai gói cấy ghép mã, có tên là VIRTUALPITA và VIRTUALPIE, trên các trình siêu giám sát ESXi hypervisors.
Các nhà nghiên cứu của Mandiant Alexander Marvi, Jeremy Koppen, Tufail Ahmed và Jonathan Lepore cho biết: "Điều quan trọng cần nhấn mạnh rằng đây không phải là một lỗ hổng thực thi mã từ xa bên ngoài; kẻ tấn công cần các đặc quyền cấp quản trị viên đối với trình siêu giám sát ESXi trước khi chúng có thể triển khai phần mềm độc hại". trong một báo cáo đầy đủ gồm hai phần.
Không có bằng chứng cho thấy lỗ hổng zero-day đã được khai thác để truy cập vào các máy chủ ESXi. Điều đó cho thấy mức độ tinh xảo trong việc sử dụng các VIBs (đã được trojanized), một loại phần mềm được sử dụng để tạo điều kiện thuận lợi cho việc phân phối phần mềm và quản lý máy ảo.
“Phần mềm độc hại này khác ở chỗ nó hỗ trợ sự tồn tại dai dẳng và bí mật, phù hợp với mục tiêu của các tổ chức tin tặc lớn và các nhóm APT nhắm mục tiêu vào các tổ chức chiến lược (strategic institutions) với ý định cư trú lâu dài mà không bị phát hiện”, VMware tiết lộ.
Trong khi VIRTUALPITA đi kèm với khả năng thực thi các mã lệnh cũng như thực hiện tải lên và tải xuống tập tin, VIRTUALPIE là một cửa hậu Python hỗ trợ thực thi dòng lệnh, truyền tập tin và các tính năng chiếm quyền kiểm soát (reverse shell features).
Cũng được phát hiện là một mẫu phần mềm độc hại được gọi là VIRTUALGATE trong máy ảo của Windows, nó là một tiện ích dựa trên C thực thi dữ liệu được nhúng sẵn, có khả năng sử dụng các giao diện truyền tin (VMCI) của VMware để chạy các lệnh trên máy ảo từ một máy chủ.
Mandiant cũng cảnh báo rằng các kỹ thuật nhằm vượt qua các biện pháp kiểm soát bảo mật truyền thống bằng cách khai thác phần mềm ảo đại diện cho một lối tấn công mới có khả năng bị các nhóm tin tặc khác bắt chước.
Các cuộc tấn công thuộc một nhóm đe dọa mới nổi, chưa được phân loại có tên mã nhận dạng UNC3886, mà động cơ của chúng có thể là hoạt động gián điệp dựa vào tính chất nhắm vào mục tiêu cao của các cuộc xâm nhập. Mã nhận dạng UNC3886 được tin là có liên quan đến tin tặc Trung Quốc
Nguồn: httpsss://thehackernews.com/2022/09/new-malware-families-found-targeting.html
Các tin tặc đã bị phát hiện triển khai cấy ghép mã độc hại sau khi xâm nhập vào phần mềm ảo VMware để chiếm quyền kiểm soát các hệ thống bị nhiễm và tránh bị phát hiện. Bộ phận tình báo về mối đe dọa Mandiant của Google gọi nó là "hệ sinh thái phần mềm độc hại mới" tác động đến VMware ESXi, máy chủ Linux vCenter và máy ảo Windows, cho phép những kẻ tấn công duy trì quyền truy cập liên tục vào Hypervisors cũng như thực hiện các lệnh tùy ý.
Theo nhà cung cấp bảo mật mạng, các cuộc siêu tấn công liên quan đến việc sử dụng gói cài đặt vSphere độc hại (VIB) để lẻn lút cài đặt hai gói cấy ghép mã, có tên là VIRTUALPITA và VIRTUALPIE, trên các trình siêu giám sát ESXi hypervisors.
Các nhà nghiên cứu của Mandiant Alexander Marvi, Jeremy Koppen, Tufail Ahmed và Jonathan Lepore cho biết: "Điều quan trọng cần nhấn mạnh rằng đây không phải là một lỗ hổng thực thi mã từ xa bên ngoài; kẻ tấn công cần các đặc quyền cấp quản trị viên đối với trình siêu giám sát ESXi trước khi chúng có thể triển khai phần mềm độc hại". trong một báo cáo đầy đủ gồm hai phần.
Không có bằng chứng cho thấy lỗ hổng zero-day đã được khai thác để truy cập vào các máy chủ ESXi. Điều đó cho thấy mức độ tinh xảo trong việc sử dụng các VIBs (đã được trojanized), một loại phần mềm được sử dụng để tạo điều kiện thuận lợi cho việc phân phối phần mềm và quản lý máy ảo.
“Phần mềm độc hại này khác ở chỗ nó hỗ trợ sự tồn tại dai dẳng và bí mật, phù hợp với mục tiêu của các tổ chức tin tặc lớn và các nhóm APT nhắm mục tiêu vào các tổ chức chiến lược (strategic institutions) với ý định cư trú lâu dài mà không bị phát hiện”, VMware tiết lộ.
Trong khi VIRTUALPITA đi kèm với khả năng thực thi các mã lệnh cũng như thực hiện tải lên và tải xuống tập tin, VIRTUALPIE là một cửa hậu Python hỗ trợ thực thi dòng lệnh, truyền tập tin và các tính năng chiếm quyền kiểm soát (reverse shell features).
Cũng được phát hiện là một mẫu phần mềm độc hại được gọi là VIRTUALGATE trong máy ảo của Windows, nó là một tiện ích dựa trên C thực thi dữ liệu được nhúng sẵn, có khả năng sử dụng các giao diện truyền tin (VMCI) của VMware để chạy các lệnh trên máy ảo từ một máy chủ.
Mandiant cũng cảnh báo rằng các kỹ thuật nhằm vượt qua các biện pháp kiểm soát bảo mật truyền thống bằng cách khai thác phần mềm ảo đại diện cho một lối tấn công mới có khả năng bị các nhóm tin tặc khác bắt chước.
Các cuộc tấn công thuộc một nhóm đe dọa mới nổi, chưa được phân loại có tên mã nhận dạng UNC3886, mà động cơ của chúng có thể là hoạt động gián điệp dựa vào tính chất nhắm vào mục tiêu cao của các cuộc xâm nhập. Mã nhận dạng UNC3886 được tin là có liên quan đến tin tặc Trung Quốc
Nguồn: httpsss://thehackernews.com/2022/09/new-malware-families-found-targeting.html
Sửa lần cuối: