Araşdırmacılar, hackerların saldırılarda VMware ESXi’nin SSH tünellemesini kullandığını tədqiq edirlər. Kampaniyalar ransomware infeksiyalı ilə başa çatır. Araşdırmacılar ehtimal olunan kompromiss işarələrini axtarma yollarını təklif edirlər.

Qeyber cinayətkarları, mütərəqqi məqsədlərə ransomware yükləmək üçün ESXi çıplak maqnit hipervizorlarında SSH tünellemə funksiyasından istifadə edirlər.

Sygnia şirkətindən təhlükəsizlik ekspertləri, ransomware fəallarının xüsusilə VMware ESXi cihazlarına hücum etdiklərini vurğulayırlar ki, bu, donanımı virtualizasiya etmək üçün istifadə edilən, bir neçə virtual maşının bir fiziki serverdə işləməsinə imkan verən, endüstri səviyyəsində çıplak maqnit hipervizorlardır.

Bu maqnit hipervizorlar ağlıhlı funksionallıqla tərtib edilmişdir və şəbəkə trafikini ənənəvi yollarla təhlükəsiz bir SSH bağlantısı ilə yerli maşın və ESXi hostu arasında təhlükəsiz bir şəkildə ötürməyə imkan verən bir tünel funksiyası təklif edir.

Araşdırmacılar dedilər ki, ESXi cihazları təhlükəsizlik baxımından nisbətən ihmal olunur və bu səbəbdən də müstəqil infrastrukturları ələ keçirmək istəyən təhlükələr üçün bir məqsəd olmuşdur. Bu cihazlara daxil olmaq üçün qarşılıqlı tanınmış zəifliklərdən istifadə edən və ya ələ keçirilmiş idarəçi şifrələri vasitəsilə daxil olan hakerlər, cihaza daxil oldular. Hakerlər dedilər ki, bu tüneli quraq vəziyyətdə, ya yerdəşik SSH funksionallığı ilə və ya bu işə bənzər funksionalıqlara malik digər yaygın alətlər istifadə edərək etmək sadədir.

ESXi cihazları resilivdirlər və nadir hallarda gözlənmişdən məhrum qalır və bu, şəbəkə içində yarı-süni bir arxa qapı kimi xidmət edir. Bunun da üstünlüklü olaraq, qaynadıcının logları (hər təhlükəsizlik monitorinq əmrinin əsasını təşkil edir) başqa sistemlərlə müqayisədə asan izlənmir.

Sygnia tərəfindən bildirildiyinə görə, ESXi logları məlumatları müxtəlif fayllar arasında paylaşmaq deməkdir, ki, bu da IT professionals və forenzika analistlərinin müxtəlif mənbələrdən məlumatları birləşdirmələri lazım gəlir. Bununla birlikdə, araşdırmacılar IT professionallarının mümkün SSH tünellemə fəaliyyəti axtarmaq üçün dörd xüsusi log faylını nəzərdən keçirmələrini tələb edirlər.

(BleepingComputer vasitəsilə)