A gangue chinesa de ciberespionagem, identificada como UNC3886, foi flagrada empregando uma vulnerabilidade de dia zero do VMware ESXi para obter privilégios aumentados em máquinas virtuais convidadas.
UNC3886 tem usado pacotes de instalação maliciosos do vSphere (VIBs), normalmente usados para manter sistemas e implantar atualizações, para instalar backdoors em hipervisores ESXi e obter acesso à execução de comandos, manipulação de arquivos e recursos de shell reverso. Esta atividade foi relatada pela primeira vez em setembro de 2022.
As atividades maliciosas do grupo afetariam Windows máquinas virtuais (VM), servidores vCenter e hosts VMware ESXi.
Ataque de dia zero VMware UNC3886
A gangue também usou uma vulnerabilidade de dia zero no VMware Tools para ignorar a autenticação e executar comandos privilegiados em WindowsLinux e VMs convidadas do PhotonOS (vCenter).
A vulnerabilidade, CVE-2023-20867recebeu uma classificação de “baixa gravidade”, pois só pode ser explorado por um invasor com acesso root ao servidor ESXi.
“Um host ESXi totalmente comprometido pode forçar o VMware Tools a falhar na autenticação das operações host-to-guest, impactando a confidencialidade e a integridade da máquina virtual convidada”, afirmou a VMware em seu comunicado. consultoria de segurança.
Mandiant afirma que UNC3886 foi visto empregando scripts para enumerar todos os hosts ESXi e suas VMs convidadas, alterar listas de IPs permitidos em todos os hosts ESXi conectados e coletar credenciais de servidores vCenter comprometidos usando o banco de dados vPostgreSQL associado.
“Além disso, o uso do CVE-2023-20867 não gera um evento de log de autenticação na VM convidada quando os comandos são executados no host ESXi”, disseram os pesquisadores.
A empresa de segurança cibernética também viu o grupo instalar dois backdoors (VirtualPita e VirtualGate) que usavam soquetes VMCI para persistência e movimentação lateral.
Além de permitir o desvio da segmentação de rede e a evasão de inspeções de segurança para portas de escuta abertas, o malware dá aos invasores um novo grau de persistência (o acesso ao host ESXi infectado é recuperado acessando uma VM).
“O ataque é altamente direcionado, com algumas dicas de alvos preferenciais governamentais ou relacionados ao governo”, Fortinet disse.
“A exploração requer um conhecimento profundo do FortiOS e do hardware subjacente. Implantes personalizados mostram que o ator possui recursos avançados, incluindo engenharia reversa de várias partes do FortiOS.”
De acordo com Mandianto uso pelo UNC3886 de uma ampla variedade de novas famílias de malware e ferramentas prejudiciais projetadas especificamente para as plataformas que eles visam implica capacidades de pesquisa significativas e uma capacidade fora do comum para compreender a tecnologia sofisticada do uso do dispositivo visado.
Em ataques contra organizações envolvidas em defesa, tecnologia e telecomunicações nos EUA e na região Ásia-Pacífico, o UNC3886 é conhecido por usar vulnerabilidades de dia zero em soluções de firewall e virtualização.
