新型间谍恶意软件威胁

关键要点

• Mandiant发现了一种新的间谍恶意软件生态系统，针对VMware ESXi、Linux vCenter服务器及Windows虚拟机。
• 攻击者能够获得持续的管理权限，传输文件并执行任意命令。
• 目前已知的感染组织不足10个，但随着信息披露，这个数字预计会上升。
• VMware强调没有证据表明其产品的漏洞被利用来获得访问权限。

在最近的研究中，Mandiant发现了一种新型的间谍相关恶意软件，专门针对VMware ESXi、LinuxvCenter和Windows虚拟机，这种恶意软件使得攻击者能够实现持续的管理访问权限，能够在超级管理程序和客户机之间转移文件、篡改日志以及在虚拟机之间执行任意命令。

Mandiant在今天发布的中详细描述了该活动，并将其追踪到一个新的集群，意味着Mandiant尚未将此活动与任何已知的高级持续威胁黑客组织联系起来。

该威胁行为者似乎在故意针对没有端点检测和响应系统的设备。目前，Mandiant发现的受感染组织少于10个，但他们预计，随着信息披露，安全团队将开始检测到之前未知的活动，受感染的组织数量会有所增加。

“随着端点检测和响应解决方案在Windows系统恶意软件检测有效性方面的提升，某些受到国家支持的高级威胁行为者已转向在不支持EDR的系统上开发和部署恶意软件，大多数组织也没有有效的方法去追踪和识别VMware超级管理程序上的威胁，”Mandiant的首席技术官CharlesCarmakal在声明中表示。

该活动是在一次事件响应调查中被发现的，Mandiant观察到攻击者利用合法的VMWare工具向Windows客户机发送命令。对超级管理程序的后续分析发现，攻击者使用了恶意的vSphere安装包，VMWare将其描述为“将文件打包成一个单一存档以便于分发”的集合，安装了Mandiant称之为VIRTUALPITA和VIRTUALPIE的两种恶意软件。

VIRTUALPITA是一种64位恶意软件，伪装成合法的VMWare服务名称和端口，允许攻击者执行任意命令、上传或下载文件并模糊其存在。VIRTUALPIE是用编写的，能在ESXi服务器上生成背景IPV6监听器，同样允许进行任意命令执行、文件传输和反向shell功能。

值得注意的是，利用此漏洞需获得管理访问权限，远程执行攻击并不可能，这使得大多数威胁行为者使用该漏洞的难度显著增加，尽管得到国家支持的黑客组织常常可以通过其他方式获得这样的访问权限。Mandiant并未发现威胁组利用独立的零日漏洞来获取管理权限的明显证据。

在今早的中，VMWare指出，“Mandiant没有发现任何证据表明在调查期间VMware产品的漏洞被利用来获取ESXi的访问权限”，因此表示没有补丁或计划发布安全公告或CVE编号。该公司基于Mandiant的报告开发了加固指导，并表示组织应该根据其环境的具体情况，决定多快实施这些指导。

“该恶意软件的不同之处在于，能够保持持久性和隐蔽性，这与大型威胁行为者和APT组织的目标一致，这些组织针对特定机构的意图是要在未被发现的情况下长期潜伏，”VMWare博客中提到。“这与其他威胁行为者及其工具包形成了鲜明对比，后者进行的是‘嘈杂的’、以财务动机为目的的攻击，如勒索软件。基于这一新恶意软件在被攻破后部署的迹象，我们的指导提供了具体的检测和缓解技术，以及加强操作安全、完善配置做法和深