Rootkits REPTILE et MEDUSA : Les armes redoutables utilisées par les cybercriminels sur les machines VMware ESXi
Les rootkits REPTILE et MEDUSA sont des logiciels malveillants utilisés par des cybercriminels pour infecter les machines virtuelles VMware ESXi. Découvrons ensemble leur mode opératoire.
Le groupe de cybercriminels UNC3886
Le groupe de cybercriminels connu sous le nom “UNC3886” est suivi depuis un certain temps par les chercheurs de Mandiant. Un récent rapport met en lumière l’utilisation de ces rootkits open source pour obtenir un accès persistant et discret aux machines virtuelles VMware ESXi.
Les cibles et les méthodes
Depuis mars 2023, UNC3886 exploite des failles zero-day dans les produits Fortinet et VMware pour viser des organisations à l’échelle mondiale. Divers secteurs sont touchés, tels que l’aérospatiale, les télécommunications, la défense, l’énergie, ainsi que des entités gouvernementales.
Les infrastructures VMware visées
Dans le cadre de leurs attaques, les serveurs vCenter sur les infrastructures VMware sont particulièrement visés par les cybercriminels. Cela leur permet ensuite d’avoir le contrôle total de toute l’infrastructure virtuelle.
Les rootkits REPTILE et MEDUSA en action
Les rootkits REPTILE et MEDUSA interviennent une fois que l’accès est obtenu. Le rootkit REPTILE agit comme une porte dérobée, offrant aux attaquants un accès discret au système infecté. Quant au rootkit MEDUSA, il permet d’exécuter des commandes et de collecter des informations d’identification.
En complément, d’autres outils malveillants sont également utilisés par UNC3886 sur les systèmes compromis. Le rapport de Mandiant détaille leur fonctionnement et leur impact sur les machines infectées. Il est crucial de rester vigilant et de prendre les mesures nécessaires pour se protéger contre de telles attaques.
Source : www.it-connect.fr
