(https://i.postimg.cc/KcddpZTk/VMware-2.png) (https://postimages.org/)
Un presunto actor de amenazas chino rastreado como UNC3886 utiliza rootkits de código abierto disponibles públicamente llamados 'Reptile' y 'Medusa' para permanecer ocultos en las máquinas virtuales VMware ESXi, lo que les permite realizar robos de credenciales, ejecución de comandos y movimientos laterales.
Mandiant ha estado rastreando al actor de amenazas durante mucho tiempo, y anteriormente informó ataques a organizaciones gubernamentales que aprovecharon una vulnerabilidad de día cero de Fortinet y dos vulnerabilidades de día cero de VMware explotadas durante períodos prolongados.
Un nuevo informe de Mandiant revela el uso por parte de UNC3886 de los rootkits mencionados en máquinas virtuales para persistencia y evasión a largo plazo, así como herramientas de malware personalizadas como 'Mopsled' y 'Riflespine', que usó GitHub y Google Drive para su comando y control.
Los ataques más recientes de UNC3886, según Mandiant, se dirigieron a organizaciones en América del Norte, el Sudeste Asiático y Oceanía, y se identificaron víctimas adicionales en Europa, África y otras partes de Asia.
Las industrias objetivo incluían los sectores de gobierno, telecomunicaciones, tecnología, aeroespacial, defensa, energía y servicios públicos.
Rootkit en máquinas virtuales VMware ESXi
Mandiant dice que los actores de amenazas violan las máquinas virtuales VMware ESXi e instalan rootkits de código abierto para mantener el acceso para operaciones a largo plazo.
Un rootkit es un software malicioso que permite a los actores de amenazas ejecutar programas y realizar modificaciones que los usuarios del sistema operativo no pueden ver. Este tipo de malware permite a los actores de amenazas ocultar su presencia mientras realizan comportamientos maliciosos.
"Después de explotar las vulnerabilidades de día cero para obtener acceso a los servidores vCenter y posteriormente administrar los servidores ESXi, el actor obtuvo el control total de las máquinas virtuales invitadas que compartían el mismo servidor ESXi que el servidor vCenter", explicó Mandiant.
Mandiant observó que el actor utilizaba dos rootkits disponibles públicamente, REPTILE y MEDUSA, en las máquinas virtuales invitadas para mantener el acceso y evadir la detección.
Reptile es un rootkit de Linux de código abierto implementado como un módulo de kernel cargable (LKM), diseñado para proporcionar acceso de puerta trasera y facilitar la persistencia sigilosa.
Los principales componentes de Reptile son:
Un componente en modo usuario (REPTILE.CMD) que se comunica con el componente en modo kernel para ocultar archivos, procesos y conexiones de red.
Un componente de shell inverso (REPTILE.SHELL) que se puede configurar para escuchar paquetes de activación a través de TCP, UDP o ICMP, proporcionando un canal oculto para la ejecución remota de comandos.
Un componente a nivel de kernel que se conecta a las funciones del kernel para realizar las acciones asignadas por el componente en modo de usuario.
"REPTILE parecía ser el rootkit elegido por UNC3886, ya que se observó que se implementaba inmediatamente después de obtener acceso a los puntos finales comprometidos", continuó Mandiant.
"REPTILE ofrece tanto la funcionalidad de puerta trasera común, como la ejecución de comandos y capacidades de transferencia de archivos, como también una funcionalidad sigilosa que permite al actor de amenazas acceder y controlar evasivamente los puntos finales infectados mediante la activación de puertos".
UNC3886 modificó el rootkit para usar palabras clave únicas para diferentes implementaciones, lo que ayudó en la evasión, mientras que también realizó cambios en el iniciador y los scripts de inicio del rootkit destinados a aumentar la persistencia y el sigilo.
El segundo rootkit de código abierto que el actor de amenazas despliega en los ataques es Medusa, conocido por su secuestro de enlazador dinámico a través de 'LD_PRELOAD'.
El enfoque funcional de Medusa es el registro de credenciales, capturando contraseñas de cuentas a partir de inicios de sesión locales y remotos exitosos. También realiza un registro de ejecución de comandos, proporcionando a los atacantes información sobre las actividades de la víctima y conocimientos sobre el entorno comprometido.
Mandiant dice que Medusa normalmente se implementa después de Reptile como una herramienta complementaria utilizando un componente separado llamado 'Seaelf'.
También se observó cierta personalización en Medusa, con UNC3886 desactivando ciertos filtros y alterando cadenas de configuración.
Malware personalizado
También se observó que UNC3886 utiliza una colección de herramientas de malware personalizadas en sus operaciones, algunas de las cuales se presentan por primera vez.
Las más importantes de las herramientas de ataque enumeradas son:
Mopsled: puerta trasera modular basada en Shellcode diseñada para recuperar y ejecutar complementos, lo que le permite expandir sus capacidades dinámicamente. Se ve en servidores vCenter y otros puntos finales violados junto con Reptile.
Riflespine: puerta trasera multiplataforma que aprovecha Google Drive para comando y control (C2). Utiliza un servicio systemd para persistencia, recopila información del sistema y ejecuta comandos recibidos del C2.
Lookover: rastreador personalizado para capturar credenciales TACACS+ procesando paquetes de autenticación, descifrando y registrando su contenido. Implementado en servidores TACACS+, ayuda a los atacantes a ampliar su alcance de acceso a la red.
Ejecutivos de SSH con puerta trasera: UNC3886 implementó versiones modificadas de daemons y clientes SSH para capturar credenciales y almacenarlas en archivos de registro cifrados con XOR. Para evitar la sobrescritura mediante actualizaciones, los atacantes utilizan 'yum-versionlock'.
Puertas traseras VMCI: familia de puertas traseras que aprovecha la interfaz de comunicación de máquina virtual (VMCI) para facilitar la comunicación entre las máquinas virtuales invitadas y host. Incluye 'VirtualShine' (acceso al shell bash a través de sockets VMCI), 'VirtualPie' (transferencia de archivos, ejecución de comandos, shell inverso) y 'VirtualSphere' (controlador que transmite los comandos).
Mandiant planea publicar más detalles técnicos sobre esas puertas traseras VMCI en una publicación futura.
La lista completa con indicadores de compromiso y reglas YARA para detectar actividad UNC3886 se encuentra al final del informe de Mandiant.
https://cloud.google.com/blog/topics/threat-intelligence/uncovering-unc3886-espionage-operations
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/unc3886-hackers-use-linux-rootkits-to-hide-on-vmware-esxi-vms/