Передовая группа кибершпионажа China-nexus, ранее связанная с использованием недостатков безопасности в устройствах VMware и Fortinet, с конца 2021 года была связана со злоупотреблением критической уязвимостью в VMware vCenter Server в качестве уязвимости нулевого дня.
"UNC3886 имеет опыт использования уязвимостей нулевого дня для выполнения своей миссии без обнаружения, и этот последний пример еще раз демонстрирует их возможности", - сказал в пятничном отчете принадлежащий Google Mandiant.
Рассматриваемая уязвимость - это CVE-2023-34048 (оценка CVSS: 9,8), запись вне пределов доступа, которая могла быть использована злоумышленником, имеющим сетевой доступ к серверу vCenter. Она была исправлена компанией, принадлежащей Broadcom, 24 октября 2023 года.
Ранее на этой неделе поставщик услуг виртуализации обновил свои рекомендации, признав, что "эксплуатация CVE-2023-34048 происходила в естественных условиях".
UNC3886 впервые появилась на свет в сентябре 2022 года, когда было обнаружено, что она использует ранее неизвестные уязвимости безопасности VMware для взлома систем Windows и Linux, внедряя семейства вредоносных программ, таких как VIRTUALPITA и VIRTUALPIE.
Последние выводы Mandiant показывают, что средством zero-day, использованным национальным субъектом, нацеленным на VMware, был не кто иной, как CVE-2023-34048, позволяющий ему получить привилегированный доступ к системе vCenter и перечислить все хосты ESXi и их соответствующие гостевые виртуальные машины, подключенные к системе.
Следующая фаза атаки включает получение учетных данных "vpxuser" в открытом виде для хостов и подключение к ним для установки вредоносных программ VIRTUALPITA и VIRTUALPIE, что позволяет злоумышленнику напрямую подключаться к хостам.
В конечном итоге это открывает возможности для использования другой уязвимости VMware (CVE-2023-20867, оценка CVSS: 3,9) для выполнения произвольных команд и передачи файлов на гостевые виртуальные машины и обратно со скомпрометированного хоста ESXi, как раскрыл Mandiant в июне 2023 года.
Пользователям VMware vCenter Server рекомендуется обновиться до последней версии, чтобы уменьшить любые потенциальные угрозы.
В последние годы UNC3886 также воспользовался CVE-2022-41328 (оценка CVSS: 6,5), уязвимостью обхода пути в программном обеспечении Fortinet FortiOS, для развертывания имплантатов THINCRUST и CASTLETAP для выполнения произвольных команд, полученных с удаленного сервера, и извлечения конфиденциальных данных.
В этих атаках особое внимание уделяется брандмауэру и технологиям виртуализации из-за того, что в них отсутствует поддержка решений для обнаружения конечных точек и реагирования (EDR), которые могут сохраняться в целевых средах в течение длительных периодов времени.
"UNC3886 имеет опыт использования уязвимостей нулевого дня для выполнения своей миссии без обнаружения, и этот последний пример еще раз демонстрирует их возможности", - сказал в пятничном отчете принадлежащий Google Mandiant.
Рассматриваемая уязвимость - это CVE-2023-34048 (оценка CVSS: 9,8), запись вне пределов доступа, которая могла быть использована злоумышленником, имеющим сетевой доступ к серверу vCenter. Она была исправлена компанией, принадлежащей Broadcom, 24 октября 2023 года.
Ранее на этой неделе поставщик услуг виртуализации обновил свои рекомендации, признав, что "эксплуатация CVE-2023-34048 происходила в естественных условиях".
UNC3886 впервые появилась на свет в сентябре 2022 года, когда было обнаружено, что она использует ранее неизвестные уязвимости безопасности VMware для взлома систем Windows и Linux, внедряя семейства вредоносных программ, таких как VIRTUALPITA и VIRTUALPIE.
Последние выводы Mandiant показывают, что средством zero-day, использованным национальным субъектом, нацеленным на VMware, был не кто иной, как CVE-2023-34048, позволяющий ему получить привилегированный доступ к системе vCenter и перечислить все хосты ESXi и их соответствующие гостевые виртуальные машины, подключенные к системе.
Следующая фаза атаки включает получение учетных данных "vpxuser" в открытом виде для хостов и подключение к ним для установки вредоносных программ VIRTUALPITA и VIRTUALPIE, что позволяет злоумышленнику напрямую подключаться к хостам.
В конечном итоге это открывает возможности для использования другой уязвимости VMware (CVE-2023-20867, оценка CVSS: 3,9) для выполнения произвольных команд и передачи файлов на гостевые виртуальные машины и обратно со скомпрометированного хоста ESXi, как раскрыл Mandiant в июне 2023 года.
Пользователям VMware vCenter Server рекомендуется обновиться до последней версии, чтобы уменьшить любые потенциальные угрозы.
В последние годы UNC3886 также воспользовался CVE-2022-41328 (оценка CVSS: 6,5), уязвимостью обхода пути в программном обеспечении Fortinet FortiOS, для развертывания имплантатов THINCRUST и CASTLETAP для выполнения произвольных команд, полученных с удаленного сервера, и извлечения конфиденциальных данных.
В этих атаках особое внимание уделяется брандмауэру и технологиям виртуализации из-за того, что в них отсутствует поддержка решений для обнаружения конечных точек и реагирования (EDR), которые могут сохраняться в целевых средах в течение длительных периодов времени.
