Un nouveau logiciel malveillant s’introduit dans les serveurs VMware ESXi pour détourner les machines virtuelles

Des pirates ont trouvé une nouvelle méthode pour établir la persistance sur les hyperviseurs VMware ESXi afin de contrôler les serveurs vCenter et les machines virtuelles pour Windows et Linux tout en évitant d’être détectés.

Un niveau de confiance modifié n’est pas suffisant pour que le système ESXi l’accepte par défaut, mais l’attaquant a également utilisé l’option « -force » pour installer les VIB malveillants.

Grâce à ces astuces, l’auteur de la menace a pu installer les logiciels malveillants VirtualPita et VirtualPie sur la machine ESXi compromise.

« VIRTUALPITA est une porte dérobée passive de 64 bits qui crée une écoute sur un numéro de port codé en dur sur un serveur VMware ESXi », indique Mandiant dans un rapport publié aujourd’hui.

VirtualPie est basé sur Python et génère un auditeur IPv6 démonisé sur un port codé en dur sur un serveur VMware ESXi.

Sur les machines virtuelles Windows sous l’hyperviseur infecté, les chercheurs ont trouvé un autre logiciel malveillant, VirtualGate, qui comprend un dropper à mémoire seule qui désobfusque une charge utile DLL de deuxième niveau sur la machine virtuelle. Cette attaque nécessite que l’acteur de la menace dispose de privilèges de niveau administrateur sur l’hyperviseur.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.