Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Недавно устранённая уязвимость в гипервизорах VMware ESXi активно используется несколькими группировками

31/07/24

vm_ware_1 (1)

Они занимаются вымогательством, для получения повышенных прав и развёртывания вредоносного ПО, шифрующего файлы.

Эти атаки используют уязвимость CVE-2024-37085 (оценка CVSS: 6.8), позволяющую обойти аутентификацию при интеграции с Active Directory и получить административный доступ к хосту, пишет Securitylab.

Компания VMware, принадлежащая Broadcom, в июньском консультативном отчёте отметила, что злоумышленник с достаточными правами в Active Directory может получить полный доступ к ESXi-хосту, используя настройки AD для управления пользователями. Это возможно путём создания новой группы AD под названием «ESX Admins» и добавления в неё пользователя или переименования любой группы в домене в «ESX Admins».

Microsoft в своём анализе, опубликованном 29 июля, сообщила, что группы вымогателей, такие как Storm-0506, Storm-1175, Octo Tempest и Manatee Tempest, используют эту технику для развёртывания Akira и Black Basta. Исследователи подчеркнули, что ESXi-гипервизоры, подключенные к домену Active Directory, по умолчанию предоставляют полные административные права любому члену доменной группы с именем «ESX Admins». При этом ESXi не проверяет, существует ли такая группа на самом деле.

В одной из атак Storm-0506 на неназванную инженерную фирму в Северной Америке, злоумышленники использовали уязвимость для повышения прав на ESXi-гипервизорах после первоначального доступа, полученного с помощью QakBot и другой уязвимости в драйвере Windows CLFS (CVE-2023-28252, оценка CVSS: 7.8).

Затем злоумышленники развернули Cobalt Strike и Pypykatz (Python-версию Mimikatz) для кражи учётных данных доменного администратора и дальнейшего распространения по сети. Для сохранения присутствия хакеры использовали имплант SystemBC и получили доступ к ESXi для развёртывания Black Basta.

Также зафиксированы попытки взлома RDP-подключений для бокового перемещения и дальнейшего развёртывания Cobalt Strike и SystemBC. Злоумышленники пытались изменить настройки Microsoft Defender Antivirus для избежания обнаружения.

Компания Mandiant, принадлежащая Google, сообщила, что финансово мотивированная группировка UNC4393 использует начальный доступ через бэкдор на C/C++ под кодовым названием ZLoader для развёртывания Black Basta, отходя от использования QakBot и DarkGate.

Mandiant отмечает, что UNC4393 демонстрирует готовность к сотрудничеству с несколькими дистрибутивными кластерами для достижения своих целей. Последняя волна активности ZLoader стартовала в начале этого года и в основном распространяется через вредоносную рекламу, что заметно отличается от предыдущего метода, нацеленного на фишинг.

В ходе атак используется начальный доступ для развёртывания Cobalt Strike Beacon и других инструментов для разведки. Для бокового перемещения используются RDP и SMB, а для сохранения присутствия — SystemBC.

Загрузчик ZLoader, который вернулся в арсенал злоумышленников в прошлом году, активно развивается. Новые вариации распространяются через бэкдор на PowerShell под названием PowerDash.

За последние годы вымогатели активно используют новые методы для максимизации воздействия и обхода обнаружения, всё чаще нацеливаясь на ESXi-гипервизоры и пользуясь новыми уязвимостями в интернет-ориентированных серверах.

Например, вымогатель Qilin, изначально разработанный на языке Go, теперь переписан на Rust для повышения безопасности. Недавние атаки с использованием Qilin нацелены на слабые места в Fortinet и Veeam Backup & Replication для начального доступа. Злоумышленники используют инструмент Killer Ultra для отключения программ EDR и очистки журналов событий Windows, чтобы скрыть следы компрометации.

Темы:VMWareУгрозыMandiant
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...