El entorno de desarrollo de aplicaciones basado en contenedores de VMware se ha vuelto atractivo para los ciberatacantes.
Las organizaciones que ejecutan sofisticadas redes virtuales con el servicio vSphere de VMware están siendo el objetivo activo de los cryptojackers, que han descubierto cómo inyectar el cryptominer comercial XMRig en el entorno, sin ser detectados.
Siddharth Sharma, de Uptycs, ha publicado una investigación que muestra que los atacantes están utilizando scripts de shell maliciosos para realizar modificaciones y ejecutar el cryptominer en las redes virtuales de vSphere.
"Las campañas de criptojacking se dirigen principalmente a los sistemas que tienen recursos de alta gama", señaló Sharma. "En esta campaña, como vimos, los atacantes intentaron registrar el minero XMRig como un servicio (daemon), que se ejecuta cada vez que el sistema se reinicia".
Para evitar la detección, el script también descarga un rootkit en modo usuario desde el servidor de comando y control (C2), añadió el informe.
"El script de shell también contiene comandos que descargan el minero, el archivo de configuración y el rootkit en modo usuario desde el servidor web del atacante", explicó el informe. "Los atacantes utilizaron [la] utilidad wget para obtener los componentes maliciosos y la utilidad chmod para hacer que los componentes fueran ejecutables".
El informe dice que el rootkit se guarda como "libload.so" y el script modifica vSphere para ejecutar el cryptominer XMRig.
Después de la descarga del criptominero, el script recarga el servicio para poner en marcha el minero, explicó Sharma. El informe también informó de que la cartera del atacante ha recibido 8,942 XMR, según el informe, o unos 1.790 dólares al momento.
Servicios de VMware bajo ataque
Los servicios de VMware se han visto asediados por recientes problemas de seguridad.
El año nuevo comenzó con un fallo de alta gravedad encontrado en las plataformas Cloud Foundation, ESXi, Fusion y Workstation de VMWare, que abrió la puerta a una toma de control del hipervisor de todo el entorno virtualizado de una organización.
Y hace apenas unos días, los servidores Horizon de VMWare con vulnerabilidades Log4Shell fueron observados bajo el ataque activo Cobalt Strike por investigadores de Huntress después de que el Servicio Nacional de Salud del Reino Unido fuera atacado el 5 de enero.
Sharma aconseja a los equipos de seguridad que ejecutan servicios de VMware que busquen actividad inusual en la red para detectar el criptominero, así como otros ataques.
"En el pasado hemos visto grupos muy sofisticados que han atacado servicios vulnerables de VMware", dijo Sharma. "De ahí que sea realmente importante vigilar los procesos sospechosos, los eventos y el tráfico de red generados en la ejecución de cualquier script de shell no fiable".
Fuente: https://threatpost.com/cybercriminals-vmware-vsphere-cryptominers/177722/