تم استغلال ثغرة VMware ESXi بواسطة مجموعات Ransomware للوصول إلى المشرف

تم استغلال ثغرة أمنية تم تصحيحها مؤخرًا تؤثر على برامج Hypervisor VMware ESXi بشكل نشط من قبل مجموعات “عدة” من برامج الفدية للحصول على أذونات مرتفعة ونشر برامج ضارة لتشفير الملفات.

الهجمات تنطوي على استغلال CVE-2024-37085 (درجة CVSS: 6.8)، تجاوز مصادقة تكامل Active Directory الذي يسمح للمهاجم بالحصول على حق الوصول الإداري إلى المضيف.

“يمكن لممثل ضار لديه أذونات Active Directory (AD) كافية الحصول على حق الوصول الكامل إلى مضيف ESXi الذي تم تكوينه مسبقًا لاستخدام AD لإدارة المستخدم عن طريق إعادة إنشاء مجموعة AD التي تم تكوينها (“مسؤولو ESXi” افتراضيًا) بعد حذفها من AD،” برنامج VMware المملوك لشركة Broadcom ذُكر في الاستشارة الصادرة في أواخر يونيو 2024.

بمعنى آخر، كان تصعيد الامتيازات على ESXi إلى المسؤول بسيطًا مثل إنشاء مجموعة إعلانية جديدة باسم “ESX Admins” وإضافة أي مستخدم إليها، أو إعادة تسمية أي مجموعة في المجال إلى “ESX Admins” وإضافة مستخدم إلى المجموعة أو باستخدام عضو موجود في المجموعة.

قالت مايكروسوفت، في تحليل جديد نُشر يوم 29 يوليو، إنها لاحظت أن مشغلي برامج الفدية مثل Storm-0506 وStorm-1175 وOcto Tempest وManatee Tempest يستفيدون من تقنية ما بعد الاختراق لنشر Akira وBlack Basta.

“يعتبر برنامج VMware ESXi Hypervisor المنضم إلى مجال Active Directory أن أي عضو في مجموعة مجال تسمى “ESX Admins” يتمتع بحق الوصول الإداري الكامل افتراضيًا،” الباحثون دانييل كوزنتس نوهي، وإيدان زويك، وميتار بينتو، وتشارلز إدوارد بيتان، وفايبهاف ديشموخ. قال.

“هذه المجموعة ليست مجموعة مضمنة في Active Directory وغير موجودة بشكل افتراضي. لا يتحقق برنامج Hypervisor في ESXi من وجود مثل هذه المجموعة عندما يكون الخادم منضمًا إلى مجال ولا يزال يعامل أي أعضاء في مجموعة بهذا الاسم مع الوصول الإداري الكامل، حتى لو لم تكن المجموعة موجودة في الأصل.”

في إحدى الهجمات التي شنتها Storm-0506 ضد شركة هندسية لم يذكر اسمها في أمريكا الشمالية، استخدم ممثل التهديد الثغرة الأمنية للحصول على أذونات مرتفعة لمشرفي الأجهزة الافتراضية ESXi بعد الحصول على موطئ قدم أولي باستخدام عدوى QakBot واستغلال ثغرة أخرى في Windows Common Log. برنامج تشغيل نظام الملفات (CLFS) (CVE-2023-28252، درجة CVSS: 7.8) لتصعيد الامتيازات.

بعد ذلك، استلزمت المراحل نشر Cobalt Strike و بيبيكاتز، إصدار Python من Mimikatz، لسرقة بيانات اعتماد مسؤول المجال والتحرك أفقيًا عبر الشبكة، متبوعًا بإسقاط غرسة SystemBC للاستمرارية وإساءة استخدام وصول مسؤول ESXi لنشر Black Basta.

وقال الباحثون: “لوحظ أيضًا أن الممثل يحاول فرض اتصالات بروتوكول سطح المكتب البعيد (RDP) بأجهزة متعددة كوسيلة أخرى للحركة الجانبية، ثم تثبيت Cobalt Strike وSystemBC مرة أخرى”. “ثم حاول ممثل التهديد التلاعب ببرنامج Microsoft Defender Antivirus باستخدام أدوات مختلفة لتجنب اكتشافه.”

يأتي هذا التطوير في الوقت الذي كشفت فيه شركة Mandiant المملوكة لشركة Google أن مجموعة تهديد ذات دوافع مالية تسمى UNC4393 تستخدم الوصول الأولي الذي تم الحصول عليه عبر باب خلفي C/C++ يحمل الاسم الرمزي ZLoader (المعروف أيضًا باسم DELoader أو Terdot أو Silent Night) لتوصيل Black Basta، والابتعاد عن QakBot و بوابة الظلام.

“لقد أثبتت UNC4393 استعدادها للتعاون مع مجموعات توزيع متعددة لاستكمال إجراءاتها بشأن الأهداف،” شركة استخبارات التهديدات قال. “هذه الزيادة الأخيرة في نشاط Silent Night، والتي بدأت في وقت سابق من هذا العام، تم تسليمها بشكل أساسي عبر الإعلانات الضارة. وكان هذا بمثابة تحول ملحوظ بعيدًا عن التصيد الاحتيالي باعتباره الوسيلة الوحيدة المعروفة للوصول الأولي لـ UNC4393.”

يتضمن تسلسل الهجوم الاستفادة من الوصول الأولي لإسقاط Cobalt Strike Beacon ومجموعة من الأدوات المخصصة والمتاحة بسهولة لإجراء الاستطلاع، ناهيك عن الاعتماد على RDP وServer Letter Block (SMB) للحركة الجانبية. يتم تحقيق الثبات عن طريق SystemBC.

ZLoader، الذي عاد إلى الظهور بعد فجوة طويلة في أواخر العام الماضي، كان قيد التطوير النشط، مع نشر متغيرات جديدة من البرامج الضارة عبر باب خلفي PowerShell يشار إليه باسم باور داشلكل النتائج الأخيرة من فريق الاستخبارات السيبرانية في وول مارت.

على مدى السنوات القليلة الماضية، أظهر ممثلو برامج الفدية رغبة في التمسك بالتقنيات الجديدة لتحقيق أقصى قدر من التأثير وتجنب الاكتشاف، واستهداف برامج مراقبة الأجهزة الافتراضية ESXi بشكل متزايد والاستفادة من تم الكشف عن ثغرات أمنية جديدة في الخوادم التي تواجه الإنترنت لاختراق الأهداف محل الاهتمام.

على سبيل المثال، تم تطوير Qilin (المعروف أيضًا باسم Agenda) في الأصل بلغة البرمجة Go، ولكن تم إعادة تطويره منذ ذلك الحين باستخدام Rust، مما يشير إلى التحول نحو إنشاء برامج ضارة باستخدام لغات آمنة للذاكرة. وقد تبين أن الهجمات الأخيرة التي تنطوي على برامج الفدية قد استفادت من نقاط الضعف المعروفة في برنامجي Fortinet وVeeam Backup & Replication للوصول الأولي.

“إن برنامج الفدية Qilin قادر على الانتشار الذاتي عبر شبكة محلية،” Group-IB قال في تحليل حديث، أضاف أنه مجهز أيضًا “لتنفيذ التوزيع الذاتي باستخدام VMware vCenter.”

من البرامج الضارة البارزة الأخرى المستخدمة في هجمات برنامج الفدية Qilin هي الأداة المدبلجة القاتل الترا تم تصميمه لتعطيل برنامج الكشف عن نقطة النهاية والاستجابة لها (EDR) الشهير الذي يعمل على المضيف المصاب بالإضافة إلى مسح جميع سجلات أحداث Windows لإزالة جميع مؤشرات التسوية.

يُنصح المؤسسات بتثبيت آخر تحديثات البرامج، وممارسة نظافة بيانات الاعتماد، وفرض المصادقة الثنائية، واتخاذ الخطوات اللازمة لحماية الأصول المهمة باستخدام إجراءات المراقبة المناسبة وخطط النسخ الاحتياطي والاسترداد.