Se ha descubierto que los actores de amenazas implementan implantes posteriores al compromiso nunca antes vistos en el software de virtualizaci\u00f3n de VMware para tomar el control de los sistemas infectados y evadir la detecci\u00f3n.<\/p>\n
La divisi\u00f3n de inteligencia de amenazas Mandiant de Google se refiri\u00f3 a \u00e9l como un “ecosistema de malware novedoso” que afecta a VMware ESXi, servidores Linux vCenter y m\u00e1quinas virtuales de Windows, lo que permite a los atacantes mantener un acceso persistente a la hipervisor<\/a> as\u00ed como ejecutar comandos arbitrarios.<\/p>\n los ataques de hipersecuestro<\/a>seg\u00fan el proveedor de ciberseguridad, implic\u00f3 el uso de paquetes de instalaci\u00f3n maliciosos de vSphere (VIB<\/a>) para introducir dos implantes, denominados VIRTUALPITA y VIRTUALPIE, en los hipervisores ESXi.<\/p>\n “Es importante resaltar que esta no es una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo externo; el atacante necesita privilegios de nivel de administrador para el hipervisor ESXi antes de que pueda implementar malware”, dijeron los investigadores de Mandiant Alexander Marvi, Jeremy Koppen, Tufail Ahmed y Jonathan Lepore. de forma exhaustiva dos partes<\/a> reporte<\/a>.<\/p>\n No hay evidencia de que se haya explotado una vulnerabilidad de d\u00eda cero para obtener acceso a los servidores ESXi. Dicho esto, el uso de VIB troyanizados, un formato de paquete de software utilizado para facilitar la distribuci\u00f3n de software y la gesti\u00f3n de m\u00e1quinas virtuales, apunta a un nuevo nivel de sofisticaci\u00f3n.<\/p>\n “Este malware difiere en que permite permanecer tanto persistente como encubierto, lo cual es consistente con los objetivos de los actores de amenazas m\u00e1s grandes y grupos APT que se dirigen a instituciones estrat\u00e9gicas con la intenci\u00f3n de permanecer sin ser detectados durante alg\u00fan tiempo”, dijo VMware. revelado<\/a>.<\/p>\n Mientras que VIRTUALPITA viene con capacidades para ejecutar comandos, as\u00ed como para cargar y descargar archivos, VIRTUALPIE es una puerta trasera de Python con soporte para la ejecuci\u00f3n de l\u00ednea de comandos, transferencia de archivos y funciones de shell inverso.<\/p>\n Tambi\u00e9n se descubri\u00f3 una muestra de malware llamada VIRTUALGATE en m\u00e1quinas virtuales invitadas de Windows, que es un programa de utilidad basado en C que ejecuta una carga \u00fatil integrada capaz de usar la interfaz de comunicaci\u00f3n de m\u00e1quina virtual de VMware (VMCI<\/a>) sockets para ejecutar comandos en una m\u00e1quina virtual invitada desde un host de hipervisor.<\/p>\n Mandiant tambi\u00e9n advirti\u00f3 que las t\u00e9cnicas de la campa\u00f1a para eludir los controles de seguridad tradicionales al explotar el software de virtualizaci\u00f3n representan una nueva superficie de ataque que probablemente sea detectada por otros grupos de piratas inform\u00e1ticos.<\/p>\n Los ataques se han atribuido a un grupo de amenazas emergentes sin categorizar con nombre en c\u00f3digo UNC3886, cuya motivaci\u00f3n probablemente est\u00e9 impulsada por el espionaje, considerando la naturaleza altamente espec\u00edfica de las intrusiones. Adem\u00e1s, evalu\u00f3 con baja confianza que UNC3886 tiene un nexo con China.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Hipervisores](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1664558354_337_Nuevas-familias-de-malware-encontradas-dirigidas-a-hipervisores-VMware-ESXi.jpg\" "\\"Hipervisores")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n