Une faille de s\u00e9curit\u00e9 r\u00e9cemment corrig\u00e9e affectant les hyperviseurs VMware ESXi a \u00e9t\u00e9 activement exploit\u00e9e par \u00ab plusieurs \u00bb groupes de ransomware pour obtenir des autorisations \u00e9lev\u00e9es et d\u00e9ployer des logiciels malveillants de chiffrement de fichiers.<\/p>\n
Les attaques impliquent l\u2019exploitation de CVE-2024-37085<\/a> (Score CVSS\u00a0: 6,8), un contournement d\u2019authentification d\u2019int\u00e9gration Active Directory qui permet \u00e0 un attaquant d\u2019obtenir un acc\u00e8s administratif \u00e0 l\u2019h\u00f4te.<\/p>\n \u00ab Un acteur malveillant disposant d’autorisations Active Directory (AD) suffisantes peut obtenir un acc\u00e8s complet \u00e0 un h\u00f4te ESXi qui a \u00e9t\u00e9 pr\u00e9c\u00e9demment configur\u00e9 pour utiliser AD pour la gestion des utilisateurs en recr\u00e9ant le groupe AD configur\u00e9 (\u00ab ESXi Admins \u00bb par d\u00e9faut) apr\u00e8s sa suppression d’AD \u00bb, a d\u00e9clar\u00e9 VMware, propri\u00e9t\u00e9 de Broadcom. not\u00e9<\/a> dans un avis publi\u00e9 fin juin 2024.<\/p>\n En d’autres termes, l’escalade des privil\u00e8ges sur ESXi vers l’administrateur \u00e9tait aussi simple que de cr\u00e9er un nouveau groupe AD nomm\u00e9 \u00ab ESX Admins \u00bb et d’y ajouter n’importe quel utilisateur, ou de renommer n’importe quel groupe du domaine en \u00ab ESX Admins \u00bb et d’ajouter un utilisateur au groupe ou d’utiliser un membre du groupe existant.<\/p>\n Microsoft, dans une nouvelle analyse publi\u00e9e le 29 juillet, a d\u00e9clar\u00e9 avoir observ\u00e9 des op\u00e9rateurs de ransomware comme Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest exploitant la technique post-compromission pour d\u00e9ployer Akira et Black Basta.<\/p>\n \u00ab Les hyperviseurs VMware ESXi joints \u00e0 un domaine Active Directory consid\u00e8rent que tout membre d’un groupe de domaine nomm\u00e9 \u00ab ESX Admins \u00bb dispose par d\u00e9faut d’un acc\u00e8s administratif complet \u00bb, expliquent les chercheurs Danielle Kuznets Nohi, Edan Zwick, Meitar Pinto, Charles-Edouard Bettan et Vaibhav Deshmukh dit<\/a>.<\/p>\n \u00ab Ce groupe n’est pas un groupe int\u00e9gr\u00e9 dans Active Directory et n’existe pas par d\u00e9faut. Les hyperviseurs ESXi ne valident pas l’existence d’un tel groupe lorsque le serveur est joint \u00e0 un domaine et traitent toujours tous les membres d’un groupe portant ce nom avec un acc\u00e8s administratif complet, m\u00eame si le groupe n’existait pas \u00e0 l’origine. \u00bb<\/p>\n Lors d’une attaque men\u00e9e par Storm-0506 contre une soci\u00e9t\u00e9 d’ing\u00e9nierie anonyme en Am\u00e9rique du Nord, l’acteur malveillant a exploit\u00e9 la vuln\u00e9rabilit\u00e9 pour obtenir des autorisations \u00e9lev\u00e9es sur les hyperviseurs ESXi apr\u00e8s avoir obtenu une premi\u00e8re prise en utilisant une infection QakBot et en exploitant une autre faille dans le pilote Windows Common Log File System (CLFS) (CVE-2023-28252, score CVSS : 7,8) pour l’escalade des privil\u00e8ges.<\/p>\n Par la suite, les phases ont impliqu\u00e9 le d\u00e9ploiement de Cobalt Strike et Pypykatz<\/a>une version Python de Mimikatz, pour voler les informations d’identification de l’administrateur de domaine et se d\u00e9placer lat\u00e9ralement sur le r\u00e9seau, puis en abandonnant l’implant SystemBC pour la persistance et en abusant de l’acc\u00e8s administrateur ESXi pour d\u00e9ployer Black Basta.<\/p>\n \u00ab L’acteur a \u00e9galement \u00e9t\u00e9 observ\u00e9 en train de tenter de forcer les connexions RDP (Remote Desktop Protocol) \u00e0 plusieurs appareils comme autre m\u00e9thode de d\u00e9placement lat\u00e9ral, puis d’installer \u00e0 nouveau Cobalt Strike et SystemBC \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab L’acteur malveillant a ensuite essay\u00e9 de falsifier l’antivirus Microsoft Defender \u00e0 l’aide de divers outils pour \u00e9viter d’\u00eatre d\u00e9tect\u00e9. \u00bb<\/p>\n Cette \u00e9volution intervient alors que Mandiant, propri\u00e9t\u00e9 de Google, a r\u00e9v\u00e9l\u00e9 qu’un groupe de menaces \u00e0 motivation financi\u00e8re appel\u00e9 UNC4393 utilise l’acc\u00e8s initial obtenu via une porte d\u00e9rob\u00e9e C\/C++ nomm\u00e9e ZLoader (alias DELoader, Terdot ou Silent Night) pour diffuser Black Basta, s’\u00e9loignant ainsi de QakBot et DarkGate.<\/p>\n “UNC4393 a d\u00e9montr\u00e9 sa volont\u00e9 de coop\u00e9rer avec plusieurs clusters de distribution pour mener \u00e0 bien ses actions sur les objectifs”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de renseignement sur les menaces dit<\/a>\u00ab Cette derni\u00e8re vague d’activit\u00e9 de Silent Night, qui a d\u00e9but\u00e9 plus t\u00f4t cette ann\u00e9e, a \u00e9t\u00e9 principalement diffus\u00e9e par le biais de publicit\u00e9s malveillantes. Cela a marqu\u00e9 un changement notable par rapport au phishing comme seul moyen d’acc\u00e8s initial connu d’UNC4393. \u00bb<\/p>\n La s\u00e9quence d’attaque implique l’utilisation de l’acc\u00e8s initial pour larguer Cobalt Strike Beacon et une combinaison d’outils personnalis\u00e9s et facilement disponibles pour effectuer une reconnaissance, sans oublier le recours \u00e0 RDP et Server Message Block (SMB) pour le mouvement lat\u00e9ral. La persistance est obtenue au moyen de SystemBC.<\/p>\n ZLoader, qui a refait surface apr\u00e8s une longue interruption \u00e0 la fin de l’ann\u00e9e derni\u00e8re, est en cours de d\u00e9veloppement actif, avec de nouvelles variantes du malware propag\u00e9es via une porte d\u00e9rob\u00e9e PowerShell appel\u00e9e PowerDash<\/a>par d\u00e9couvertes r\u00e9centes<\/a> de l’\u00e9quipe de cyber-renseignement de Walmart.<\/p>\n Au cours des derni\u00e8res ann\u00e9es, les acteurs du ransomware ont d\u00e9montr\u00e9 leur volont\u00e9 de s’accrocher \u00e0 de nouvelles techniques pour maximiser l’impact et \u00e9chapper \u00e0 la d\u00e9tection, en ciblant de plus en plus les hyperviseurs ESXi et en profitant de failles de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9es<\/a> dans les serveurs connect\u00e9s \u00e0 Internet pour violer les cibles d’int\u00e9r\u00eat.<\/p>\n Qilin (alias Agenda), par exemple, a \u00e9t\u00e9 d\u00e9velopp\u00e9 \u00e0 l’origine dans le langage de programmation Go, mais a depuis \u00e9t\u00e9 red\u00e9velopp\u00e9 \u00e0 l’aide de Rust, ce qui indique une \u00e9volution vers la construction de logiciels malveillants utilisant des langages s\u00e9curis\u00e9s en m\u00e9moire. Il a \u00e9t\u00e9 d\u00e9couvert que des attaques r\u00e9centes impliquant des ransomwares exploitaient des faiblesses connues des logiciels Fortinet et Veeam Backup & Replication pour l’acc\u00e8s initial.<\/p>\n \u00ab Le ransomware Qilin est capable de se propager automatiquement sur un r\u00e9seau local \u00bb, a d\u00e9clar\u00e9 Group-IB dit<\/a> dans une analyse r\u00e9cente, ajoutant qu’il est \u00e9galement \u00e9quip\u00e9 pour \u00ab effectuer une auto-distribution \u00e0 l’aide de VMware vCenter \u00bb.<\/p>\n Un autre malware notable utilis\u00e9 dans les attaques de ransomware Qilin est un outil baptis\u00e9 Tueur Ultra<\/a> il est con\u00e7u pour d\u00e9sactiver les logiciels de d\u00e9tection et de r\u00e9ponse aux points de terminaison (EDR) populaires ex\u00e9cut\u00e9s sur l’h\u00f4te infect\u00e9 ainsi que pour effacer tous les journaux d’\u00e9v\u00e9nements Windows pour supprimer tous les indicateurs de compromission.<\/p>\n Il est recommand\u00e9 aux organisations d\u2019installer les derni\u00e8res mises \u00e0 jour logicielles, de respecter les r\u00e8gles d\u2019hygi\u00e8ne des informations d\u2019identification, d\u2019appliquer l\u2019authentification \u00e0 deux facteurs et de prendre des mesures pour prot\u00e9ger les actifs critiques \u00e0 l\u2019aide de proc\u00e9dures de surveillance et de plans de sauvegarde et de r\u00e9cup\u00e9ration appropri\u00e9s.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Une-faille-VMware-ESXi-exploitee-par-des-groupes-de-ransomware.png\")
<\/a><\/center><\/section>\n<\/a><\/div>\n