Varios grupos de ransomware han explotado activamente una falla de seguridad
recientemente corregida que afecta a los hipervisores VMware ESXi para obtener
permisos elevados e implementar malware y ransomware.
Los ataques implican la explotación de
CVE-2024-37085
(puntuación CVSS: 6,8), una omisión de autenticación de integración de Active
Directory que permite a un atacante obtener acceso administrativo al host.
«Un actor malintencionado con suficientes permisos de Active Directory (AD)
puede obtener acceso total a un host ESXi al volver a crear un grupo de AD
configurado (‘ESXi Admins’ por defecto) después de que se haya eliminado de
AD», señaló VMware, en un
aviso
publicado a fines de junio de 2024.
En otras palabras, aumentar los privilegios en ESXi al administrador era tan
simple como crear un nuevo grupo AD llamado «ESXi Admins» y agregarle
cualquier usuario o cambiar el nombre de cualquier grupo en el dominio y
agregar un usuario al grupo o usar un miembro del grupo existente.
Microsoft, en un nuevo análisis publicado el 29 de julio, dijo que observó que
operadores de ransomware como
Storm-0506, Storm-1175,
Octo Tempest y Manatee Tempest
aprovechaban la técnica posterior al compromiso para implementar Akira y Black
Basta.
«Los hipervisores ESXi de VMware unidos a un dominio de Active Directory
consideran que cualquier miembro de un grupo de dominio llamado ‘ESXi
Admins’ tiene acceso administrativo completo de forma predeterminada», dijeron los investigadores Danielle Kuznets Nohi, Edan Zwick, Meitar Pinto,
Charles-Edouard Bettan y Vaibhav Deshmukh.
«Este grupo no es un grupo integrado en Active Directory y no existe de
forma predeterminada. Los hipervisores ESXi no validan que dicho grupo
exista cuando el servidor se une a un dominio y aún tratan a cualquier
miembro de un grupo con este nombre con acceso administrativo completo,
incluso si el grupo no existía originalmente».
En un ataque organizado por Storm-0506 contra una empresa de ingeniería
anónima en América del Norte, el actor de amenazas utilizó esta vulnerabilidad
como arma para obtener permisos elevados en los hipervisores ESXi después de
haber obtenido un punto de apoyo inicial utilizando una infección
QakBot
y explotando otra falla en el controlador del sistema de archivos (CLFS) (CVE-2023-28252, puntuación CVSS: 7.8) para la escalamiento de privilegios.
Posteriormente, las fases implicaron la implementación de Cobalt Strike y
Pypykatz, una versión Python de Mimikatz, para robar credenciales de administrador de
dominio y moverse lateralmente a través de la red, seguido de la eliminación
del implante
SystemBC
para la persistencia y el abuso del acceso de administrador de ESXi para
implementar Black Basta.
«También se observó al actor intentando forzar las conexiones del Protocolo
de escritorio remoto (RDP) a múltiples dispositivos como otro método para el
movimiento lateral, y luego instalar nuevamente Cobalt Strike y SystemBC. El
actor de amenazas luego intentó manipular Microsoft Defender Antivirus
utilizando varias herramientas para evitar la detección».
El desarrollo se produce después de que Mandiant, propiedad de Google,
revelara que un grupo de amenazas con motivaciones financieras llamado
UNC4393
está utilizando el acceso inicial obtenido a través de una puerta trasera
C/C++ con nombre en código
ZLoader
(también conocido como DELoader, Terdot o Silent Night) para distribuir Black
Basta, alejándose de QakBot y
DarkGate.
La secuencia de ataque implica hacer uso del acceso inicial para lanzar Cobalt
Strike Beacon y una combinación de herramientas personalizadas y fácilmente
disponibles para realizar el reconocimiento, sin mencionar la dependencia de
RDP y Server Message Block (SMB) para el movimiento lateral. La persistencia
se logra mediante SystemBC.
ZLoader, que
reapareció
después de una larga pausa a fines del año pasado, ha estado en desarrollo
activo, con nuevas variantes del malware que se propagan a través de una
puerta trasera de PowerShell conocida como
PowerDash, según
hallazgos recientes
del equipo de inteligencia cibernética de Walmart.
En los últimos años, los actores de ransomware han demostrado un apetito por
aprovechar nuevas técnicas para maximizar el impacto y evadir la detección,
apuntando cada vez más a los hipervisores ESXi
y aprovechando las
fallas de seguridad recientemente reveladas
en los servidores que dan a Internet para vulnerar los objetivos de interés.
Qilin
(también conocido como Agenda), por ejemplo, se desarrolló originalmente en el
lenguaje de programación Go, pero desde entonces se ha vuelto a desarrollar
utilizando Rust, lo que indica un cambio hacia la construcción de malware
utilizando lenguajes seguros para la memoria. Se ha descubierto que los
ataques recientes que involucran ransomware aprovechan debilidades conocidas
en el software Fortinet y Veeam Backup & Replication para el acceso
inicial.
«El ransomware Qilin es capaz de autopropagarse a través de una red
local»,
afirmó Group-IB
en un análisis reciente, y agregó que también está equipado para
«realizar la autodistribución mediante VMware vCenter».
Otro malware notable empleado en los ataques del ransomware Qilin es una
herramienta denominada
Killer Ultra
que está diseñada para deshabilitar el popular software de detección y
respuesta de endpoints (EDR) que se ejecuta en el host infectado, así como
para borrar todos los registros de eventos de Windows para eliminar todos los
indicadores de compromiso.
Se recomienda a las organizaciones instalar las últimas actualizaciones de
software, practicar la higiene de credenciales, aplicar la autenticación de
dos factores y tomar medidas para proteger los activos críticos mediante
procedimientos de monitoreo adecuados y planes de respaldo y recuperación.
Fuente:
THN