Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Un nuovo malware crea delle backdoor sugli hypervisor VMware ESXi

Un nuovo malware crea delle backdoor sugli hypervisor VMware ESXi

Redazione RHC : 2 Ottobre 2022 09:00

I ricercatori Mandiant hanno descritto in dettaglio una nuova tecnica utilizzata dai Black hacker per ottenere l’accesso amministrativo agli hypervisor VMware ESXi e accedere ai server vCenter, nonché alle macchine virtuali Windows e Linux, per eseguire le seguenti azioni:

  • Invio di comandi all’hypervisor che vengono reindirizzati alla macchina virtuale guest per l’esecuzione;
  • Trasferimento di file tra hypervisor ESXi e macchine guest in esecuzione;
  • Gestione del servizio di logging sull’hypervisor;
  • Eseguire comandi arbitrari e reindirizzali da una macchina guest a un’altra in esecuzione sullo stesso hypervisor.

La natura mirata ed evasiva di questo attacco porta gli esperti a ritenere che l’attacco sia stato effettuato a scopo di spionaggio informatico dal gruppo legato alla Cina UNC3886.

Nell’attacco indagato da Mandiant, gli aggressori hanno utilizzato vSphere Installation Bundles (VIB) dannosi per installare due backdoor su hypervisor ESXi tracciati come VIRTUALPITA e VIRTUALPIE.




Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?

Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo gli esperti, il criminale informatico ha bisogno di privilegi a livello di amministratore per l’hypervisor ESXi in modo da poter distribuire malware

Vale la pena notare che attualmente non sono noti exploit utilizzati per ottenere l’accesso iniziale o distribuire file VIB dannosi.

I VIB sono raccolte di file progettati per gestire i sistemi virtuali. Possono essere utilizzati per creare attività di avvio, regole firewall personalizzate o distribuire file binari personalizzati dopo il riavvio della macchina ESXi. 

I VIB sono costituiti dai seguenti componenti:

  • File XML del descrittore (descrive il contenuto del VIB);
  • Payload VIB (archivio .vgz);
  • File di firma: una firma digitale utilizzata per verificare il livello di accettazione dei file VIB da parte dell’host.

Un file XML, che contiene collegamenti a:

  • Payload da installare;
  • Metadati VIB come il nome e la data di installazione;
  • File della firma VIB.

I ricercatori Mandiant hanno scoperto che gli aggressori possono modificare il parametro del livello di accettazione nel descrittore XML da “community” a “partner” per dare l’impressione che sia stato creato da un individuo fidato. 

Tuttavia, ESXi non consentendo ancora l’installazione del file vib, gli hacker devono utilizzare il flag “–force” per disabilitare il controllo del commit e sovrascrivere la cronologia. Ciò ha consentito l’installazione di file VIB dannosi.

I criminali informatici hanno utilizzato questa tecnica per installare le backdoor VIRTUALPITA e VIRTUALPIE su una macchina ESXi compromessa:

  • VIRTUALPITA è una backdoor passiva a 64 bit che crea un listener su un numero di porta hardcoded su un server VMware ESXi. Il malware supporta l’esecuzione di comandi arbitrari;
  • VIR TUALPIE è una backdoor Python che supporta l’esecuzione arbitraria di comandi, la capacità di trasferire file e la possibilità di creare una reverse shell.

I ricercatori hanno anche trovato un malware unico chiamato VirtualGate che include un dropper e un payload. 

Il codice dannoso è stato ospitato su hypervisor infetti.

I ricercatori di Mandiant ora si aspettano che altri criminali informatici utilizzino le informazioni del loro studio per creare opportunità simili.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Arriva Google CodeMender! Quando l’AI, trova il bug nel codice e lo ripara da sola
Di Redazione RHC - 07/10/2025

Sarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...

L’ascesa dei Partner Digitali: l’AI diventa il rifugio per i wiresexual perché sicura, comoda e controllabile
Di Redazione RHC - 07/10/2025

La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...

RediShell: una RCE da score 10 vecchia di 13 anni è stata aggiornata in Redis
Di Redazione RHC - 07/10/2025

Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...

L’Italia nel mondo degli Zero Day c’è! Le prime CNA Italiane sono Leonardo e Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...

Apple nel mirino? Presunta rivendicazione di data breach da 9 GB su Darkforums
Di Inva Malaj - 05/10/2025

Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...