Китайская хакерская группа эксплуатирует критическую уязвимость vCenter Server (CVE-2023-34048) в режиме нулевого дня по крайней мере с конца 2021 года.
Дефект был исправлен в октябре, и в среду VMware подтвердила, что ей известно об эксплуатации CVE-2023-34048, хотя и не сообщила других подробностей об атаках. Однако, как сообщила сегодня компания Mandiant, уязвимость была использована китайской группой кибершпионажа UNC3886 в рамках кампании, о которой сообщалось ранее, в июне 2023 года.
Кибершпионы использовали ее для взлома серверов vCenter своих целей и компрометации учетных данных для установки бэкдоров VirtualPita и VirtualPie на хосты ESXi через злонамеренно созданные пакеты установки vSphere (VIBs).
На следующем этапе они использовали уязвимость CVE-2023-20867 обхода аутентификации VMware Tools для повышения привилегий, сбора файлов и их утечки с гостевых ВМ.
Хотя до сих пор Mandiant не знала, как злоумышленники получили привилегированный доступ к серверам vCenter жертв, связь стала очевидной в конце 2023 года благодаря сбою службы VMware vmdird за несколько минут до развертывания бэкдоров, точно совпадающему с эксплуатацией CVE-2023-34048.
Хотя публичные сообщения и исправления были опубликованы в октябре 2023 года, Mandiant наблюдала эти сбои в нескольких случаях UNC3886 в период с конца 2021 по начало 2022 года, что оставляет примерно полтора года, в течение которых злоумышленник имел доступ к этой уязвимости.
«В большинстве сред, где наблюдались эти сбои, записи журнала сохранялись, но сами дампы ядра „vmdird“ были удалены.
«В конфигурациях VMware по умолчанию дампы ядра хранятся в системе неопределенное количество времени, что позволяет предположить, что дампы ядра были специально удалены злоумышленником в попытке замести следы».
UNC3886 известна тем, что фокусируется на организациях оборонного, правительственного, телекоммуникационного и технологического секторов в США и регионе APJ.
Излюбленными целями китайских кибершпионов являются дефекты безопасности нулевого дня в брандмауэрах и платформах виртуализации, не оснащенных функциями Endpoint Detection and Response (EDR), которые облегчают обнаружение и блокирование атак.
В марте компания Mandiant показала, что в рамках той же кампании они также использовали «нулевой день» Fortinet (CVE-2022-41328) для компрометации межсетевых экранов FortiGate и установки ранее неизвестных бэкдоров Castletap и Thincrust.
«Атака очень целевая, с некоторыми намеками на предпочтительные правительственные или связанные с правительством цели»
«Эксплойт требует глубокого понимания FortiOS и базового оборудования. Пользовательские импланты показывают, что у агента есть продвинутые возможности, включая реверс-инжиниринг различных частей FortiOS.»
- заявили в Fortinet
Комментарии (0)