01/31/2023

พบรูรั่วใหม่ทำให้มัลแวร์เจาะเวอร์ช่วลแมชชีนบนเซิร์ฟเวอร์ VMware ESXi ได้

พบการใช้เทคนิคใหม่ในการฝังตัวบนไฮเปอร์ไวเซอร์อย่าง VMware ESXi เพื่อควบคุมเซิร์ฟเวอร์ vCenter และเวอร์ช่วลแมชชีนทั้งวินโดวส์และลีนุกซ์ แบบที่หลบเลี่ยงการตรวจจับได้ โดยใช้ตัวชุดติดตั้ง vSphere อันตรายที่ออกแบบมาเป็นพิเศษ

ผู้โจมตีสามารถใช้ตัวติดตั้งนี้ฝังตัวรูรั่วบนไฮเปอร์ไวเซอร์แบบเปลือย (Bare-Metal) ได้ถึงสองตัว ที่นักวิจัยตั้งชื่อว่า VirtualPita และ VirtualPie นอกจากนี้ยังพบตัวอย่างมัลแวร์พิเศษอย่าง VirtualGate ที่มาพร้อมตัวดรอปเปอร์และข้อมูลเปย์โหลดด้วย

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Mandiant (ที่ล่าสุดโดนกูเกิ้ลซื้อไปแล้ว) พบว่าขบวนการที่อยู่เบื้องหลังอาจมีความเกี่ยวข้องกับทางการจีน โดยเฉพาะจากเทคนิคการใช้ชุดติดตั้ง vSphere หรือ VIB เป็นสะพานติดเชื้อมัลแวร์ทั้งสองตัว

VIB หรือ vSphere Installation Bundle เป็นแพกเกจรวมไฟล์สำหรับสร้างและดูแลอิมเมจ ESXi ให้แอดมินจัดการการติดตั้ง ESXi ได้ ทั้งการสร้างสตาร์ทอัพทาส์ก, กฎไฟร์วอลล์, หรือสั่งรันโค้ดไบนารีต่างๆ เมื่อเริ่มต้นเปิดเครื่อง

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer