中國的國家支持組織UNC3886被發現利用VMware ESXi主機的零時差漏洞來設置後門,入侵Windows和Linux系統。VMware Tools身份驗證繞過漏洞,被追蹤為CVE-2023-20867(CVSS評分:3.9)。Mandiant表示,這個漏洞「允許在Windows、Linux和PhotonOS(vCenter)客戶虛擬機上執行特權命令,而無需對來自受損ESXi主機的客戶憑證進行驗證,也無需在客戶虛擬機上設置默認記錄」。UNC3886最初由Google旗下的威脅情報公司於2022年9月記錄下來,他們是一個進行網路間諜活動的角色,通過名為VIRTUALPITA和VIRTUALPIE的後門感染VMware ESXi和vCenter服務器。
今年三月早些時候,UNC3886組織被發現利用Fortinet FortiOS操作系統中的一個現已修補的中度安全漏洞,在網路設備上部署植入程序並與上述惡意軟體進行互動。這個威脅行為者被描述為一個”非常熟練”的對手集團,主要針對美國、日本和亞太地區的國防、科技和電信組織進行攻擊。
Mandiant研究人員表示,這個組織具有廣泛的研究和支援,能夠理解目標設備的底層技術,並指出他們利用不支持EDR解決方案的防火牆和虛擬化軟體的漏洞進行攻擊。作為利用ESXi系統的一部分,這個威脅還被觀察到從vCenter服務器中收集憑證,並濫用CVE-2023-20867來執行命令,並在受損的ESXi主機和客戶虛擬機之間傳輸文件。
UNC3886的值得注意的特點是它使用虛擬機通信接口(VMCI)套接字進行橫向移動和持續存在,從而使其能夠在ESXi主機和客戶虛擬機之間建立一個隱蔽通道。該公司表示:「這種在客戶虛擬機和主機之間建立的開放通信通道,其中任一角色都可以充當客戶端或服務器,為重新獲得被植入後門的ESXi主機提供了一種新的持續存在方式,只要後門被部署並且攻擊者獲得對任何客戶虛擬機的初始訪問」。
與此同時,Summoning Team的研究人員Sina Kheirkhah揭露VMware Aria Operations for Networks中的三個不同漏洞(CVE-2023-20887、CVE-2023-20888和CVE-2023-20889),可能導致遠端程式碼執行(RCE) 攻擊。UNC3886組織依然對資安調查人員構成挑戰,因為他們通過禁用和篡改日誌服務,選擇性地刪除與其活動相關的日誌事件。
參考來源 The Hacker News:
https://thehackernews.com/2023/06/chinese-hackers-exploit-vmware-zero-day.html