Hackers miram VMs do VMware ESXi
21 de Junho de 2024

Um suspeito ator de ameaças chinês, identificado como UNC3886, utiliza rootkits de código aberto e de disponibilidade pública, denominados 'Reptile' e 'Medusa', para permanecer oculto em máquinas virtuais VMware ESXi, permitindo-lhe realizar roubo de credenciais, execução de comandos e movimentação lateral.

A Mandiant vem monitorando o ator de ameaças há muito tempo, reportando anteriormente ataques a organizações governamentais que exploravam uma vulnerabilidade zero-day do Fortinet e duas vulnerabilidades zero-day do VMware, exploradas por períodos prolongados.

Um novo relatório da Mandiant revela o uso, pelo UNC3886, dos rootkits mencionados em máquinas virtuais para persistência de longo prazo e evasão, bem como ferramentas de malware personalizadas, como 'Mopsled' e 'Riflespine', que utilizaram GitHub e Google Drive para comando e controle.

Os ataques mais recentes do UNC3886, segundo a Mandiant, visaram organizações na América do Norte, Sudeste Asiático e Oceania, com vítimas adicionais identificadas na Europa, África e outras partes da Ásia.

Os setores visados incluíram governos, telecomunicações, tecnologia, aeroespacial, defesa e setores de energia e utilidades.

A Mandiant diz que os atores de ameaças violam as VMs do VMware ESXi e instalam rootkits de código aberto para manter acesso a operações de longo prazo.

Um rootkit é um software malicioso que permite aos atores de ameaças executar programas e fazer modificações que não são visíveis para os usuários no sistema operacional.

Esse tipo de malware permite que os atores de ameaças ocultem sua presença enquanto se engajam em comportamentos maliciosos.

"Após explorar vulnerabilidades zero-day para ganhar acesso aos servidores vCenter e, subsequentemente, servidores ESXi gerenciados, o ator obteve controle total das máquinas virtuais convidadas que compartilhavam o mesmo servidor ESXi que o servidor vCenter," explicou a Mandiant.

A Mandiant observou o ator usando dois rootkits de código aberto, REPTILE e MEDUSA, nas máquinas virtuais convidadas para manter acesso e evitar detecção.

O Reptile é um rootkit Linux de código aberto implementado como um módulo do kernel carregável (LKM), projetado para fornecer acesso backdoor e facilitar a persistência sigilosa.

Os principais componentes do Reptile são:

Um componente em modo usuário (REPTILE.CMD) que se comunica com o componente em modo kernel para ocultar arquivos, processos e conexões de rede.

Um componente de shell reverso (REPTILE.SHELL) que pode ser configurado para esperar por pacotes de ativação via TCP, UDP ou ICMP, fornecendo um canal oculto para a execução de comandos remotamente.

Um componente em nível de kernel que se engancha nas funções do kernel para executar as ações solicitadas pelo componente em modo usuário.

"REPTILE parece ser o rootkit de escolha pelo UNC3886, pois foi observado sendo implantado imediatamente após obter acesso aos endpoints comprometidos," continuou a Mandiant.

REPTILE oferece tanto a funcionalidade comum de backdoor, como execução de comandos e capacidades de transferência de arquivos, bem como funcionalidade furtiva que permite ao ator de ameaças acessar e controlar os endpoints infectados de forma evasiva via port knocking.

O UNC3886 modificou o rootkit para usar palavras-chave únicas para diferentes implantações, ajudando na evasão, enquanto também realizava mudanças no launcher do rootkit e nos scripts de inicialização visando aumentar a persistência e a furtividade.

O segundo rootkit de código aberto que o ator de ameaça implanta nos ataques é o Medusa, conhecido por seu hijacking do linker dinâmico via 'LD_PRELOAD'.

O foco funcional do Medusa é o registro de credenciais, capturando senhas de contas de logins locais e remotos bem-sucedidos.

Ele também realiza registro da execução de comandos, fornecendo aos atacantes informações sobre as atividades da vítima e visão do ambiente comprometido.

A Mandiant diz que o Medusa é tipicamente implantado após o Reptile como uma ferramenta complementar usando um componente separado denominado 'Seaelf'.

Alguma personalização também foi observada no Medusa, com o UNC3886 desativando certos filtros e alterando strings de configuração.

O UNC3886 também foi observado usando uma coleção de ferramentas de malware personalizadas em suas operações, algumas das quais são apresentadas pela primeira vez.

As mais importantes dentre as ferramentas de ataque listadas são:

Mopsled – Backdoor modular baseado em Shellcode projetado para recuperar e executar plugins, permitindo expandir suas capacidades dinamicamente.

É visto em servidores vCenter e outros endpoints violados ao lado do Reptile.

Riflespine – Backdoor multiplataforma que utiliza o Google Drive para comando e controle (C2).

Utiliza um serviço systemd para persistência, coleta informações do sistema e executa comandos recebidos do C2.

Lookover – Sniffer personalizado para capturar credenciais TACACS+ processando pacotes de autenticação, descriptografando e registrando seu conteúdo.

Implementado em servidores TACACS+, ajuda os atacantes a ampliar seu alcance de acesso à rede.
Executáveis SSH Backdoorizados – O UNC3886 implantou versões modificadas de clientes e daemons SSH para capturar credenciais e armazená-las em arquivos de log criptografados por XOR.

Para prevenir a substituição por atualizações, os atacantes usam 'yum-versionlock'.
Backdoors VMCI – Família de backdoors explorando a Interface de Comunicação de Máquina Virtual (VMCI) para facilitar a comunicação entre máquinas virtuais convidadas e host.

Inclui 'VirtualShine' (acesso ao shell bash através de sockets VMCI), 'VirtualPie' (transferência de arquivo, execução de comando, shell reverso) e 'VirtualSphere' (controlador transmitindo os comandos).

A Mandiant planeja liberar mais detalhes técnicos sobre esses backdoors VMCI em uma publicação futura.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...