{"id":390704,"date":"2022-09-30T13:09:25","date_gmt":"2022-09-30T15:09:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/decouverte-de-nouvelles-familles-de-logiciels-malveillants-ciblant-les-hyperviseurs-vmware-esxi\/"},"modified":"2022-09-30T13:09:26","modified_gmt":"2022-09-30T15:09:26","slug":"decouverte-de-nouvelles-familles-de-logiciels-malveillants-ciblant-les-hyperviseurs-vmware-esxi","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/decouverte-de-nouvelles-familles-de-logiciels-malveillants-ciblant-les-hyperviseurs-vmware-esxi\/","title":{"rendered":"D\u00e9couverte de nouvelles familles de logiciels malveillants ciblant les hyperviseurs VMware ESXi"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Des auteurs de menaces ont \u00e9t\u00e9 d\u00e9couverts en train de d\u00e9ployer des implants post-compromis in\u00e9dits dans le logiciel de virtualisation de VMware pour prendre le contr\u00f4le des syst\u00e8mes infect\u00e9s et \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<p>La division Mandiant de Google sur les menaces l&#8217;a qualifi\u00e9 de &#8220;nouvel \u00e9cosyst\u00e8me de logiciels malveillants&#8221; qui affecte VMware ESXi, les serveurs Linux vCenter et les machines virtuelles Windows, permettant aux attaquants de maintenir un acc\u00e8s permanent au <a rel=\"nofollow noopener\" href=\"https:\/\/www.vmware.com\/topics\/glossary\/content\/hypervisor.html\" target=\"_blank\">hyperviseur<\/a> ainsi que d&#8217;ex\u00e9cuter des commandes arbitraires.<\/p>\n<p>La <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Hyperjacking\" target=\"_blank\">attaques d&#8217;hyperjacking<\/a>selon le fournisseur de cybers\u00e9curit\u00e9, impliquait l&#8217;utilisation de bundles d&#8217;installation vSphere malveillants (<a rel=\"nofollow noopener\" href=\"https:\/\/blogs.vmware.com\/vsphere\/2011\/09\/whats-in-a-vib.html\" target=\"_blank\">VIB<\/a>) pour se faufiler dans deux implants, baptis\u00e9s VIRTUALPITA et VIRTUALPIE, sur les hyperviseurs ESXi.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Il est important de souligner qu&#8217;il ne s&#8217;agit pas d&#8217;une vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance externe\u00a0; l&#8217;attaquant a besoin de privil\u00e8ges de niveau administrateur sur l&#8217;hyperviseur ESXi avant de pouvoir d\u00e9ployer des logiciels malveillants&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Mandiant Alexander Marvi, Jeremy Koppen, Tufail Ahmed et Jonathan Lepore. dans un exhaustif <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/esxi-hypervisors-malware-persistence\" target=\"_blank\">en deux parties<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/esxi-hypervisors-detection-hardening\" target=\"_blank\">rapport<\/a>.<\/p>\n<p>Il n&#8217;y a aucune preuve qu&#8217;une vuln\u00e9rabilit\u00e9 zero-day ait \u00e9t\u00e9 exploit\u00e9e pour acc\u00e9der aux serveurs ESXi.  Cela dit, l&#8217;utilisation de VIB trojanis\u00e9s, un format de progiciel utilis\u00e9 pour faciliter la distribution de logiciels et la gestion des machines virtuelles, indique un nouveau niveau de sophistication.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Hyperviseurs VMware ESXi\" border=\"0\" data-original-height=\"487\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1664550565_151_Decouverte-de-nouvelles-familles-de-logiciels-malveillants-ciblant-les-hyperviseurs.jpg\" title=\"Hyperviseurs VMware ESXi\" \/><\/div>\n<p>&#8220;Ce logiciel malveillant diff\u00e8re en ce qu&#8217;il prend en charge le maintien \u00e0 la fois persistant et secret, ce qui est coh\u00e9rent avec les objectifs des grands acteurs de la menace et des groupes APT qui ciblent les institutions strat\u00e9giques avec l&#8217;intention de rester non d\u00e9tect\u00e9s pendant un certain temps&#8221;, a d\u00e9clar\u00e9 VMware. <a rel=\"nofollow noopener\" href=\"https:\/\/core.vmware.com\/vsphere-esxi-mandiant-malware-persistence\" target=\"_blank\">divulgu\u00e9<\/a>.<\/p>\n<p>Alors que VIRTUALPITA est livr\u00e9 avec des capacit\u00e9s pour ex\u00e9cuter des commandes ainsi que pour effectuer le t\u00e9l\u00e9chargement et le t\u00e9l\u00e9chargement de fichiers, VIRTUALPIE est une porte d\u00e9rob\u00e9e Python prenant en charge l&#8217;ex\u00e9cution de la ligne de commande, le transfert de fichiers et les fonctionnalit\u00e9s de shell invers\u00e9.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Un \u00e9chantillon de logiciel malveillant appel\u00e9 VIRTUALGATE dans les machines virtuelles invit\u00e9es Windows a \u00e9galement \u00e9t\u00e9 d\u00e9couvert. Il s&#8217;agit d&#8217;un programme utilitaire bas\u00e9 sur C qui ex\u00e9cute une charge utile int\u00e9gr\u00e9e capable d&#8217;utiliser l&#8217;interface de communication de la machine virtuelle de VMware (<a rel=\"nofollow noopener\" href=\"https:\/\/kb.vmware.com\/s\/article\/1010806\" target=\"_blank\">VMCI<\/a>) sockets pour ex\u00e9cuter des commandes sur une machine virtuelle invit\u00e9e \u00e0 partir d&#8217;un h\u00f4te hyperviseur.<\/p>\n<p>Mandiant a \u00e9galement averti que les techniques de la campagne pour contourner les contr\u00f4les de s\u00e9curit\u00e9 traditionnels en exploitant les logiciels de virtualisation repr\u00e9sentent une nouvelle surface d&#8217;attaque susceptible d&#8217;\u00eatre reprise par d&#8217;autres groupes de pirates.<\/p>\n<p>Les attaques ont \u00e9t\u00e9 attribu\u00e9es \u00e0 un cluster de menaces \u00e9mergentes non cat\u00e9goris\u00e9 portant le nom de code UNC3886, dont la motivation est probablement motiv\u00e9e par l&#8217;espionnage compte tenu de la nature hautement cibl\u00e9e des intrusions.  Il a en outre \u00e9valu\u00e9 avec une faible confiance que UNC3886 avait un lien avec la Chine.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/new-malware-families-found-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des auteurs de menaces ont \u00e9t\u00e9 d\u00e9couverts en train de d\u00e9ployer des implants post-compromis in\u00e9dits dans le logiciel de virtualisation de VMware pour prendre le contr\u00f4le des syst\u00e8mes infect\u00e9s et \u00e9chapper \u00e0 la d\u00e9tection. La division Mandiant de Google sur les menaces l&#8217;a qualifi\u00e9 de &#8220;nouvel \u00e9cosyst\u00e8me de logiciels malveillants&#8221; qui affecte VMware ESXi, les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":390705,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4175,4168,4158,4165,4161,8816,91615,6800,113194,4157,4159,4171,4170,65,4167,4589,4590,4160,120,4163,4162,4172,4169,4166,34910,4164],"class_list":["post-390704","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouverte","tag-esxi","tag-familles","tag-hyperviseurs","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vmware","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/390704","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=390704"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/390704\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/390705"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=390704"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=390704"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=390704"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}