Múltiples malware y ransomware aprovechan vulnerabilidades en VMware ESXi

 Varios grupos de ransomware han explotado activamente una falla de seguridad recientemente corregida que afecta a los hipervisores VMware ESXi para obtener permisos elevados e implementar malware y ransomware.

Los ataques implican la explotación de CVE-2024-37085 (puntuación CVSS: 6,8), una omisión de autenticación de integración de Active Directory que permite a un atacante obtener acceso administrativo al host.

"Un actor malintencionado con suficientes permisos de Active Directory (AD) puede obtener acceso total a un host ESXi al volver a crear un grupo de AD configurado ('ESXi Admins' por defecto) después de que se haya eliminado de AD", señaló VMware, en un aviso publicado a fines de junio de 2024.

En otras palabras, aumentar los privilegios en ESXi al administrador era tan simple como crear un nuevo grupo AD llamado "ESXi Admins" y agregarle cualquier usuario o cambiar el nombre de cualquier grupo en el dominio y agregar un usuario al grupo o usar un miembro del grupo existente.

Microsoft, en un nuevo análisis publicado el 29 de julio, dijo que observó que operadores de ransomware como Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest aprovechaban la técnica posterior al compromiso para implementar Akira y Black Basta.

"Los hipervisores ESXi de VMware unidos a un dominio de Active Directory consideran que cualquier miembro de un grupo de dominio llamado 'ESXi Admins' tiene acceso administrativo completo de forma predeterminada", dijeron los investigadores Danielle Kuznets Nohi, Edan Zwick, Meitar Pinto, Charles-Edouard Bettan y Vaibhav Deshmukh. "Este grupo no es un grupo integrado en Active Directory y no existe de forma predeterminada. Los hipervisores ESXi no validan que dicho grupo exista cuando el servidor se une a un dominio y aún tratan a cualquier miembro de un grupo con este nombre con acceso administrativo completo, incluso si el grupo no existía originalmente".

En un ataque organizado por Storm-0506 contra una empresa de ingeniería anónima en América del Norte, el actor de amenazas utilizó esta vulnerabilidad como arma para obtener permisos elevados en los hipervisores ESXi después de haber obtenido un punto de apoyo inicial utilizando una infección QakBot y explotando otra falla en el controlador del sistema de archivos (CLFS) (CVE-2023-28252, puntuación CVSS: 7.8) para la escalamiento de privilegios.

Posteriormente, las fases implicaron la implementación de Cobalt Strike y Pypykatz, una versión Python de Mimikatz, para robar credenciales de administrador de dominio y moverse lateralmente a través de la red, seguido de la eliminación del implante SystemBC para la persistencia y el abuso del acceso de administrador de ESXi para implementar Black Basta.

"También se observó al actor intentando forzar las conexiones del Protocolo de escritorio remoto (RDP) a múltiples dispositivos como otro método para el movimiento lateral, y luego instalar nuevamente Cobalt Strike y SystemBC. El actor de amenazas luego intentó manipular Microsoft Defender Antivirus utilizando varias herramientas para evitar la detección".

El desarrollo se produce después de que Mandiant, propiedad de Google, revelara que un grupo de amenazas con motivaciones financieras llamado UNC4393 está utilizando el acceso inicial obtenido a través de una puerta trasera C/C++ con nombre en código ZLoader (también conocido como DELoader, Terdot o Silent Night) para distribuir Black Basta, alejándose de QakBot y DarkGate.

La secuencia de ataque implica hacer uso del acceso inicial para lanzar Cobalt Strike Beacon y una combinación de herramientas personalizadas y fácilmente disponibles para realizar el reconocimiento, sin mencionar la dependencia de RDP y Server Message Block (SMB) para el movimiento lateral. La persistencia se logra mediante SystemBC.

ZLoader, que reapareció después de una larga pausa a fines del año pasado, ha estado en desarrollo activo, con nuevas variantes del malware que se propagan a través de una puerta trasera de PowerShell conocida como PowerDash, según hallazgos recientes del equipo de inteligencia cibernética de Walmart.

En los últimos años, los actores de ransomware han demostrado un apetito por aprovechar nuevas técnicas para maximizar el impacto y evadir la detección, apuntando cada vez más a los hipervisores ESXi y aprovechando las fallas de seguridad recientemente reveladas en los servidores que dan a Internet para vulnerar los objetivos de interés.

Qilin (también conocido como Agenda), por ejemplo, se desarrolló originalmente en el lenguaje de programación Go, pero desde entonces se ha vuelto a desarrollar utilizando Rust, lo que indica un cambio hacia la construcción de malware utilizando lenguajes seguros para la memoria. Se ha descubierto que los ataques recientes que involucran ransomware aprovechan debilidades conocidas en el software Fortinet y Veeam Backup & Replication para el acceso inicial.

"El ransomware Qilin es capaz de autopropagarse a través de una red local", afirmó Group-IB en un análisis reciente, y agregó que también está equipado para "realizar la autodistribución mediante VMware vCenter".

Otro malware notable empleado en los ataques del ransomware Qilin es una herramienta denominada Killer Ultra que está diseñada para deshabilitar el popular software de detección y respuesta de endpoints (EDR) que se ejecuta en el host infectado, así como para borrar todos los registros de eventos de Windows para eliminar todos los indicadores de compromiso.

Se recomienda a las organizaciones instalar las últimas actualizaciones de software, practicar la higiene de credenciales, aplicar la autenticación de dos factores y tomar medidas para proteger los activos críticos mediante procedimientos de monitoreo adecuados y planes de respaldo y recuperación.

Fuente: SeguInfo

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos