Des pirates ont trouvé une nouvelle méthode pour établir la persistance sur les hyperviseurs VMware ESXi afin de contrôler les serveurs vCenter et les machines virtuelles pour Windows et Linux tout en évitant d’être détectés.
Un niveau de confiance modifié n’est pas suffisant pour que le système ESXi l’accepte par défaut, mais l’attaquant a également utilisé l’option « -force » pour installer les VIB malveillants.
Grâce à ces astuces, l’auteur de la menace a pu installer les logiciels malveillants VirtualPita et VirtualPie sur la machine ESXi compromise.
« VIRTUALPITA est une porte dérobée passive de 64 bits qui crée une écoute sur un numéro de port codé en dur sur un serveur VMware ESXi », indique Mandiant dans un rapport publié aujourd’hui.
VirtualPie est basé sur Python et génère un auditeur IPv6 démonisé sur un port codé en dur sur un serveur VMware ESXi.
Sur les machines virtuelles Windows sous l’hyperviseur infecté, les chercheurs ont trouvé un autre logiciel malveillant, VirtualGate, qui comprend un dropper à mémoire seule qui désobfusque une charge utile DLL de deuxième niveau sur la machine virtuelle. Cette attaque nécessite que l’acteur de la menace dispose de privilèges de niveau administrateur sur l’hyperviseur.