VMware ESXi

Selon BleepingComputer, l’entreprise de cybersécurité Profero a réussi en 2023 à contourner le chiffrement du ransomware DarkBit lors d’une réponse à incident visant plusieurs serveurs VMware ESXi, permettant de restaurer des fichiers sans payer de rançon. Contexte et attribution présumée: l’attaque, survenue dans la foulée de frappes de drones en Iran en 2023, a été revendiquée par des acteurs se présentant comme pro-iraniens et comprenant des messages anti-Israël, avec une demande de 80 BTC. Le National Cyber Command d’Israël a relié ces actions au groupe APT parrainé par l’État iranien, MuddyWater. Les assaillants n’ont pas réellement négocié et ont surtout cherché la perturbation opérationnelle et l’impact réputationnel, un mode opératoire associé aux opérations d’influence de type étatique. ...

L’article de SecurityAffairs rapporte que le groupe cybercriminel Scattered Spider cible les hyperviseurs VMware ESXi dans les secteurs du commerce de détail, de l’aviation et du transport en Amérique du Nord. Ils utilisent principalement l’ingénierie sociale à travers des appels téléphoniques trompeurs aux services d’assistance informatique pour obtenir des accès, plutôt que d’exploiter des failles logicielles. Leur approche repose sur la tactique de living-off-the-land, exploitant les vulnérabilités humaines pour accéder aux systèmes. Une fois l’accès obtenu, ils abusent de Active Directory pour atteindre VMware vSphere, exfiltrer des données et déployer des ransomwares, tout en contournant les outils de détection des menaces. ...

L’actualité provient de Sygnia et traite d’une campagne de cyber-espionnage sophistiquée nommée Fire Ant. Cette campagne cible spécifiquement les infrastructures de virtualisation telles que VMware ESXi et vCenter, en utilisant des techniques au niveau de l’hyperviseur pour échapper à la détection et maintenir un accès persistant. La campagne a exploité la vulnérabilité CVE-2023-34048 pour compromettre initialement vCenter, permettant l’extraction de vpxuser credentials pour accéder à ESXi. Des portes dérobées persistantes ont été déployées via des VIBs non signés et des fichiers local.sh modifiés. De plus, la vulnérabilité CVE-2023-20867 a été utilisée pour exécuter des commandes non authentifiées de l’hôte vers l’invité. ...

Sygnia, une entreprise spécialisée en cybersécurité, a identifié un acteur menaçant sophistiqué nommé Fire Ant, lié à la Chine, menant des campagnes d’espionnage contre des organisations d’infrastructures critiques. Fire Ant utilise des méthodes d’attaque centrées sur l’infrastructure pour compromettre les hôtes VMware ESXi et les serveurs vCenter, extrayant des identifiants de comptes de service et déployant des portes dérobées persistantes qui survivent aux redémarrages système. L’acteur contourne la segmentation réseau en compromettant des appareils réseau et en établissant des tunnels à travers des segments de réseau via des chemins légitimes. Leurs outils et techniques s’alignent étroitement avec UNC3886, exploitant des vulnérabilités spécifiques de vCenter/ESXi. ...