发现针对 VMware ESXi Hypervisor 的新恶意软件系列

已经发现威胁参与者在 VMware 的虚拟化软件中部署了前所未有的感染后植入程序，以控制受感染的系统并逃避检测。

谷歌的 Mandiant 威胁情报部门将其称为影响 VMware ESXi、Linux vCenter 服务器和 Windows 虚拟机的“新型恶意软件生态系统”，允许攻击者保持对虚拟机管理程序的持续访问以及执行任意命令。

根据网络安全供应商的说法，超级劫持攻击涉及使用恶意 vSphere 安装包 ( VIB ) 在 ESXi 管理程序上潜入两个植入程序，称为 VIRTUALPITA 和 VIRTUALPIE。

Mandiant 研究人员 Alexander Marvi、Jeremy Koppen、Tufail Ahmed 和 Jonathan Lepore 说：“重要的是要强调这不是外部远程代码执行漏洞；攻击者需要 ESXi 虚拟机管理程序的管理员级权限才能部署恶意软件。”在一份详尽的两部分 报告中。

没有证据表明零日漏洞被用来访问 ESXi 服务器。也就是说，使用特洛伊木马 VIB（一种用于促进软件分发和虚拟机管理的软件包格式）指向了一个新的复杂水平。

“威胁行为者之前通过与 VMware 无关的攻击技术访问了受害者环境，”Marvi 告诉黑客新闻。“通过他们建立的网络访问权限，他们识别并窃取了 VMware 管理员凭据，并使用它来登录 ESXi 服务器并部署恶意 VIB 文件。”

“这种恶意软件的不同之处在于它支持保持持久性和隐蔽性，这与更大的威胁参与者和 APT 团体的目标一致，他们以战略机构为目标，意图在一段时间内不被发现，”VMware透露。

虽然 VIRTUALPITA 具有执行命令以及执行文件上传和下载的功能，但 VIRTUALPIE 是一个 Python 后门，支持命令行执行、文件传输和反向 shell 功能。

还发现了一个在 Windows 客户虚拟机中名为 VIRTUALGATE 的恶意软件样本，它是一个基于 C 的实用程序，它执行能够使用 VMware 的虚拟机通信接口 ( VMCI ) 套接字在客户虚拟机上运行来自管理程序的命令的嵌入式有效负载主持人。

据 Marvi 称，据说该恶意软件已部署在不到 10 个组织中，尽管随着公司开始检查其 VMware 基础架构，预计这一数字还会增加。鉴于感染人数较少，目前尚不清楚攻击是否针对特定部门。

Mandiant 还警告说，该活动通过利用虚拟化软件绕过传统安全控制的技术代表了一个新的攻击面，可能会被其他黑客组织采用。

这些攻击归因于代号为 UNC3886 的未分类的新兴威胁集群，考虑到入侵的高度针对性，其动机很可能是间谍活动。它以低信度进一步评估了 UNC3886 与中国的关系。

原文始发于微信公众号（河南等级保护测评）：发现针对 VMware ESXi Hypervisor 的新恶意软件系列