Un attore legato allo stato usa un nuovo malware per colpire le macchine virtuali VMware.
Una nuova forma di malware, che prende di mira i VMware ESXi hypervisors, è stata scoperta dai ricercatori della sicurezza informatica. Il malware, denominato VIRTUALPITA e VIRTUALPIE da Mandiant Consulting, è sospettato di essere opera di un attore minaccioso legato a uno stato, tracciato come UNC3886.
A differenza delle prime speculazioni, il malware non implica una vulnerabilità di esecuzione del codice remoto. Invece, utilizza pacchetti di installazione vSphere maliziosi per caricare backdoor sui VMware ESXi hypervisors.
È stato riscontrato che gli attaccanti hanno emesso comandi da un processo VMware Tools legittimo su una macchina virtuale Windows ospitata su un hypervisor VMware ESXi. Le backdoor integrate nel malware dispongono di funzionalità per condurre attività aggiuntive, secondo Alex Marvi di Mandiant Consulting.
Nonostante le ricerche approfondite, lo scopo specifico dell'attore minaccioso rimane poco chiaro. Tuttavia, si ritiene che l'attore intenda impegnarsi in una raccolta e conservazione delle informazioni a lungo termine. Le organizzazioni interessate dall'attività dell'attaccante UNC3886 sono principalmente nel settore finanziario e delle telecomunicazioni. Si sospetta che organismi simili in questi settori possano essere scoperti come obiettivi in futuro.
Il malware richiede autorizzazioni di livello amministratore per essere deployato. Una volta infiltrato, consente a un attaccante di trasferire file, eseguire comandi e manipolare i servizi di registrazione sia sugli hypervisors che sulle macchine virtuali.
VMware ha collaborato con i ricercatori di Mandiant per comprendere la struttura dell'attacco. La società fornisce anche linee guida per il rafforzamento della sicurezza dell'infrastruttura virtuale. Si consiglia ai clienti di seguire le linee guida relative alla gestione sicura delle credenziali e alla sicurezza della rete.
Il malware è stato originariamente scoperto durante un'indagine ad aprile. Ad oggi, è stato trovato in meno di 10 organizzazioni, ma i ricercatori si aspettano di trovare più aziende prese di mira. Non esiste alcuna vulnerabilità VMware collegata a questo attacco, come dichiarato da Manish Gaur, responsabile della sicurezza del prodotto di VMware.
Questa scoperta sottolinea l'importanza della vigilanza e delle misure di sicurezza robuste nel panorama digitale. Le organizzazioni, in particolare quelle nel settore finanziario e delle telecomunicazioni, sono incoraggiate a rivedere i loro protocolli di sicurezza e ad adottare le precauzioni necessarie per proteggere i loro sistemi.
Leggi anche:
- Tre donne anziane, affezionatamente chiamate nonne di Kaha Aden, costituiscono una parte significativa della comunità.
- Licenze di scommesse sportive per dispositivi mobili concesse a DraftKings e Circa per il lancio a dicembre nel Missouri
- Le principali società di gioco DraftKings, FanDuel e Circa si appellano alle autorità del Missouri per ottenere una licenza per il mobile per le loro operazioni di scommesse sportive sul mobile nello stato.
- Accelerazione del tasso di crescita del mercato delle proteine vegetali, previsto al 6,7% entro il 2034
