Reptile et Medusa sont deux rootkits Linux utilisés par des cybercriminels pour infecter les machines virtuelles VMware ESXi. Grâce à ces logiciels malveillants, ils peuvent effectuer diverses actions sur l'infrastructure compromise. Faisons le point.
Le groupe de cybercriminels connu sous le nom de "UNC3886" est suivi depuis plusieurs années par les chercheurs de Mandiant. Un nouveau rapport publié cette semaine met en lumière l'utilisation de rootkits open source pour obtenir un accès à la fois persistant et discret sur les machines virtuelles VMware ESXi.
Depuis mars 2023, les cybercriminels d'UNC3886 exploitent des failles de sécurité zero-day dans les produits Fortinet et VMware pour cibler des organisations situées dans le monde entier. "La majorité des organisations auxquelles Mandiant a répondu ou qu'il a identifiées comme cibles dans le cadre de ses propres analyses sont situées en Amérique du Nord, en Asie du Sud-Est ou en Océanie. Cependant, nous avons également identifié des victimes supplémentaires en Europe, en Afrique et dans d'autres parties de l'Asie", précise le rapport. Divers secteurs d'activités sont ciblés, notamment l'aérospatiale, les télécommunications, la technologie, la défense, l'énergie, ainsi que des entités gouvernementales.
Sur les infrastructures VMware, le serveur vCenter semble être la cible privilégiée. Cela s'explique par le fait qu'il est la clé permettant de contrôler l'ensemble de l'infrastructure virtuelle. À ce sujet, Mandiant précise : "Après avoir exploité des vulnérabilités de type zero-day pour accéder aux serveurs vCenter et aux serveurs ESXi gérés par la suite, l'attaquant a obtenu le contrôle total des machines virtuelles invitées qui partageaient le même serveur ESXi et le serveur vCenter."
Ensuite, les cybercriminels déploient les rootkits REPTILE et MEDUSA. Le rootkit REPTILE se présente sous la forme d'un module chargé par le noyau de la machine ("Loadable Kernel Module" - LKM) et comporte deux composants principaux nommés "REPTILE.CMD" et "REPTILE.SHELL".
Le rootkit REPTILE joue le rôle de porte dérobée pour les attaquants, leur permettant d'accéder au système infecté. Ils peuvent s'appuyer sur ce rootkit pour exécuter du code et transférer des fichiers de manière discrète. La technique du port knocking est notamment utilisée pour accéder aux machines infectées.
Quant au rootkit MEDUSA, il est utilisé par les cybercriminels pour exécuter des commandes, ainsi que pour collecter les identifiants et les mots de passe à chaque fois qu'une authentification locale ou distante est réussie. "L'utilisation de REPTILE a généralement été observée après que l'attaquant soit parvenu à accéder à des endpoints compromis où il a été utilisé pour déployer d'autres logiciels malveillants, des keyloggers et des utilitaires", précise Mandiant.
En complément, UNC3886 a été observé en train d'utiliser de nombreux outils malveillants sur les systèmes compromis : Mopsled, Riflespine, Lookover, etc. Le rapport de Mandiant explique précisément l'intérêt et le fonctionnement de chacun de ces outils. Par exemple, Riflespine est une porte dérobée multiplateforme qui exploite Google Drive pour transférer des fichiers et exécuter des commandes.
Enfin, la liste complète des indicateurs de compromission et des règles YARA associés à l'activité d'UNC3886 est disponible à la fin du rapport de Mandiant.