Descoberto novo método de implementação de backdoors ESXi persistentes

Especialistas da Mandiant descobriram que cibercriminosos têm utilizado uma nova técnica para instalar backdoors persistentes em hipervisores VMware ESXi, de difícil deteção. A nova técnica envolve a utilização de vSphere Installation Bundles (VIB) maliciosos– ficheiros congregados num único arquivo para facilitar a distribuição –, que têm sido utilizados pelos cibercriminosos para instalar duas backdoors, denominadas VirtualPita e VirtualPie, que permitem a execução arbitrária de comandos, transferência de ficheiros, e a capacidade de inciar reverse shells.

Segundo a Mandiant, este novo ecossistema de malware afeta o VMware ESXi, servidores Linux vCenter, e máquinas virtuais Windows, monitorizado como VirtualGate. Os atacantes são capazes de manter o acesso admin persistente a um hipervisor mesmo com reinícios, enviar comandos encaminhados para a VM convidado para execução, transferir ficheiros entre o hypervisor e máquinas de convidados, e executar comandos arbitrários de um VM convidado para outro VM convidado no mesmo hipervisor. Além disso, os hackers também podem adulterar os serviços de loggin no hipervisor.

De notar que, segundo os especialistas, o ataque não está relacionado com nenhuma vulnerabilidade zero-day nos produtos da VMware. Além disso, o atacante precisa de obter privilégios de nível de administrador ao hypervisor ESXi para implementar o malware. 

A empresa tem acompanhado a atividade como UNC3886 e acredita que um grupo de espionagem pode ser responsável, considerando que menos de dez vítimas foram identificadas até agora. “Dada a natureza altamente direcionada e invasiva desta intrusão, suspeitamos que a motivação da UNC3886 esteja relacionada com ciberespionagem. Além disso, acreditamos, com pouca confiança, que o UNC3886 tem uma ligação à China”, afirmou a Mandiant.