В октябре 2022 года Juniper Threat Labs обнаружила бэкдор, внедренный в сервер виртуализации VMware ESXi. С 2019 года непропатченные серверы ESXi стали объектами постоянных атак in-the-wild, основанных на двух уязвимостях в службе OpenSLP ESXi: CVE-2019-5544 и CVE-2020-3992. К сожалению, из-за ограниченного хранения журналов на скомпрометированном хосте, который мы исследовали, мы не можем точно сказать, какая именно уязвимость позволила хакерам получить доступ к серверу. Тем не менее, внедренный бэкдор отличается простотой, стойкостью и возможностями, и, насколько нам известно, до сих пор не был публично задокументирован.
Indicators of Compromise
MD5
- c358fe0e8837cc577315fc38892b937d
- f79cd574296a6783d34845c0fd75bd33
SHA1
- 56695beccc5593851fd0aed88312a6247ff4aa39
- 5e5c89147d248e16d24d673a1f77589c892db6f6
SHA256
- 773d147a031d8ef06ee8ec20b614a4fd9733668efeb2b05aa03e36baaf082878
- ceeb337778efe3c62a4ce04d750f60e773133dc7c99b661a5040e35afa16f426
