Nel mondo della cybersecurity, le minacce ransomware stanno evolvendo e stanno prendendo di mira i sistemi ESXi per creare tunnel SSH furtivi utilizzati per operazioni di comando e controllo (C2). Questi attacchi si basano su tecniche "living-off-the-land", che sfruttano strumenti nativi come SSH per stabilire un tunnel SOCKS tra i server C2 e l'ambiente compromesso. Questi tunnel permettono agli attaccanti di mimetizzarsi nel traffico legittimo, mantenendo una persistenza a lungo termine nella rete compromessa con minime possibilità di rilevamento.

Attacchi ai Sistemi ESXi

Gli esperti di sicurezza di Sygnia hanno osservato che i sistemi ESXi, spesso non monitorati, vengono sfruttati come meccanismo di persistenza e gateway per l'accesso alle reti aziendali. Gli attori delle minacce compromettono questi sistemi utilizzando credenziali amministrative oppure sfruttando vulnerabilità note per aggirare le protezioni di autenticazione. Una volta compromesso il sistema, gli attaccanti configurano un tunnel SSH per mantenere una backdoor semi-permanente all'interno della rete.

Sygnia sottolinea inoltre l'importanza di configurare il forwarding dei log per raccogliere tutti gli eventi rilevanti in un unico luogo, facilitando le indagini forensi. Per rilevare attacchi che utilizzano il tunneling SSH su dispositivi ESXi, le organizzazioni sono invitate a monitorare specifici file di log, tra cui shell.log, hostd.log, auth.log e vobd.log.

Persistenza e Evasione delle Minacce

Parallelamente, il gruppo Andariel, legato alla Corea del Nord, ha implementato un metodo di persistenza noto come hijacking RID per modificare segretamente il registro di Windows e assegnare permessi amministrativi a un account a basso privilegio. Questa tecnica sfrutta il fatto che gli account regolari non sono soggetti allo stesso livello di sorveglianza degli account amministrativi, consentendo agli attaccanti di compiere azioni malevole senza essere rilevati.

Inoltre, è stato scoperto un nuovo metodo per eludere i rilevamenti tramite Event Tracing for Windows (ETW), usando breakpoint hardware per aggirare la telemetria che si basa su SetThreadContext. Questo approccio sottolinea come gli attaccanti possano mantenere la furtività e prevenire la scansione AMSI e il logging ETW, rendendo più difficile il rilevamento delle attività malevole.

Queste evoluzioni evidenziano la necessità di una vigilanza continua e di strategie di difesa avanzate per proteggere le infrastrutture critiche dai sofisticati attacchi ransomware e dalle tattiche di evasione sempre più complesse.