Des chercheurs en cybersécurité ont découvert que des attaques par ransomware ciblant les systèmes ESXi exploitent également ces accès pour transformer les appliances en un conduit permettant de faire transiter du trafic vers une infrastructure de commande et de contrôle (C2), tout en restant sous les radars.
« Les appliances ESXi, qui ne sont généralement pas surveillées, sont de plus en plus exploitées comme un mécanisme de persistance et une passerelle pour accéder à des réseaux d'entreprise de manière étendue », ont déclaré les chercheurs de Sygnia, Zhongyuan Hau (Aaron) et Ren Jie Yow, dans un rapport publié la semaine dernière.
« Les acteurs malveillants utilisent ces plateformes en adoptant des techniques dites 'living-off-the-land' et en utilisant des outils natifs comme SSH pour établir un tunnel SOCKS entre leurs serveurs C2 et l'environnement compromis. »
Ce procédé vise à se fondre dans le trafic légitime et à établir une persistance à long terme sur le réseau compromis, avec peu ou pas de détection par les systèmes de sécurité.
Selon l'entreprise de cybersécurité, dans de nombreux cas de réponse aux incidents, les systèmes ESXi ont été compromis soit via l'utilisation d'identifiants administratifs, soit par l'exploitation d'une vulnérabilité connue permettant de contourner les protections d'authentification. Par la suite, les acteurs malveillants ont été observés configurant un tunnel via SSH ou d'autres outils offrant une fonctionnalité équivalente.
« Étant donné que les appliances ESXi sont robustes et rarement arrêtées de manière inattendue, ce type de tunneling constitue une porte dérobée semi-persistante au sein du réseau », ont noté les chercheurs.
![[Image: malware.png]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPvyS2Coqo7lyYt44HyapFgmlhgqQBzHmehutU5L43DLmCrNI7ffIF_LiiLHuZDTDMoNFImkRZwD5ouN8-LdJDZ42MQQy4vU2iSZe8hl4VCWlgFySpKEFEGDz0hXgmCI8zYcbBNLvxrWkdy_HpNLxI_5MvUZTz82Ufpx9UAMvEtkQ4pez1AroeEiEkKbt-/s728-rw-e365/malware.png)
Sygnia a également souligné les défis liés à la surveillance des journaux ESXi, insistant sur l'importance de configurer un transfert des journaux pour capturer tous les événements pertinents dans un seul emplacement afin de faciliter les investigations judiciaires.
Pour détecter les attaques impliquant l'utilisation de tunnels SSH sur des appliances ESXi, il est recommandé aux organisations d'examiner les quatre fichiers journaux suivants :
Sources :
https://thehackernews.com/2025/01/ransom...s-via.html
https://www.ionos.fr/digitalguide/serveu...-how/esxi/
https://varutra.com/ctp/threatpost/postD...JvR3N6QT09
« Les appliances ESXi, qui ne sont généralement pas surveillées, sont de plus en plus exploitées comme un mécanisme de persistance et une passerelle pour accéder à des réseaux d'entreprise de manière étendue », ont déclaré les chercheurs de Sygnia, Zhongyuan Hau (Aaron) et Ren Jie Yow, dans un rapport publié la semaine dernière.
« Les acteurs malveillants utilisent ces plateformes en adoptant des techniques dites 'living-off-the-land' et en utilisant des outils natifs comme SSH pour établir un tunnel SOCKS entre leurs serveurs C2 et l'environnement compromis. »
Ce procédé vise à se fondre dans le trafic légitime et à établir une persistance à long terme sur le réseau compromis, avec peu ou pas de détection par les systèmes de sécurité.
Selon l'entreprise de cybersécurité, dans de nombreux cas de réponse aux incidents, les systèmes ESXi ont été compromis soit via l'utilisation d'identifiants administratifs, soit par l'exploitation d'une vulnérabilité connue permettant de contourner les protections d'authentification. Par la suite, les acteurs malveillants ont été observés configurant un tunnel via SSH ou d'autres outils offrant une fonctionnalité équivalente.
« Étant donné que les appliances ESXi sont robustes et rarement arrêtées de manière inattendue, ce type de tunneling constitue une porte dérobée semi-persistante au sein du réseau », ont noté les chercheurs.
Sygnia a également souligné les défis liés à la surveillance des journaux ESXi, insistant sur l'importance de configurer un transfert des journaux pour capturer tous les événements pertinents dans un seul emplacement afin de faciliter les investigations judiciaires.
Pour détecter les attaques impliquant l'utilisation de tunnels SSH sur des appliances ESXi, il est recommandé aux organisations d'examiner les quatre fichiers journaux suivants :
- /var/log/shell.log (journal des activités de la console ESXi)
- /var/log/hostd.log (journal de l'agent hôte)
- /var/log/auth.log (journal des authentifications)
- /var/log/vobd.log (journal du daemon observateur VMware).
Sources :
https://thehackernews.com/2025/01/ransom...s-via.html
https://www.ionos.fr/digitalguide/serveu...-how/esxi/
https://varutra.com/ctp/threatpost/postD...JvR3N6QT09
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
