Tin tặc Trung Quốc khai thác VMware Zero-Day để mở cửa hậu cho các hệ thống Windows và Linux

www.tuoitre.vn -   19/06/2023 08:00:00 1383

Một nhóm do nhà nước Trung Quốc tài trợ có tên UNC3886 đã bị phát hiện khai thác lỗ hổng zero-day trong máy chủ VMware ESXi để mở cửa hậu cho các hệ thống Windows và Linux.

Một nhóm do nhà nước Trung Quốc tài trợ có tên UNC3886 đã bị phát hiện khai thác lỗ hổng zero-day trong máy chủ VMware ESXi để mở cửa hậu cho các hệ thống Windows và Linux.

Lỗ hổng bỏ qua xác thực VMware Tools, được theo dõi là CVE-2023-20867 (điểm CVSS: 3,9), "cho phép thực thi các lệnh đặc quyền trên máy ảo khách Windows, Linux và PhotonOS (vCenter) mà không cần xác thực thông tin xác thực của khách từ máy chủ ESXi bị xâm phạm và không có đăng nhập mặc định trên máy ảo khách," Mandiant nói.

UNC3886 ban đầu được công ty tình báo mối đe dọa thuộc sở hữu của Google ghi lại vào tháng 9 năm 2022 với tư cách là một tác nhân gián điệp mạng lây nhiễm các máy chủ VMware ESXi và vCenter bằng các cửa hậu có tên VIRTUALPITA và VIRTUALPIE.

Đầu tháng 3 này, nhóm này có liên quan đến việc khai thác lỗ hổng bảo mật nghiêm trọng trung bình hiện đã được vá trong hệ điều hành Fortinet FortiOS để triển khai các phần mềm cấy ghép trên các thiết bị mạng và tương tác với phần mềm độc hại nói trên.

Tác nhân đe dọa đã được mô tả là một tập thể đối thủ "rất lão luyện" nhắm mục tiêu vào các tổ chức quốc phòng, công nghệ và viễn thông ở Hoa Kỳ, Nhật Bản và khu vực Châu Á - Thái Bình Dương.

Các nhà nghiên cứu của Mandiant cho biết: “Nhóm có quyền truy cập vào nghiên cứu sâu rộng và hỗ trợ để hiểu công nghệ cơ bản của các thiết bị đang được nhắm mục tiêu,” đồng thời chỉ ra mô hình vũ khí hóa các lỗ hổng trong tường lửa và phần mềm ảo hóa không hỗ trợ các giải pháp EDR.

Là một phần trong nỗ lực khai thác các hệ thống ESXi, kẻ đe dọa cũng đã được quan sát thấy đang thu thập thông tin đăng nhập từ các máy chủ vCenter cũng như lạm dụng CVE-2023-20867 để thực thi các lệnh và truyền tệp đến và từ các máy ảo khách từ máy chủ ESXi bị xâm nhập.

Một khía cạnh đáng chú ý trong thủ công của UNC3886 là việc sử dụng các ổ cắm Giao diện giao tiếp máy ảo (VMCI) để di chuyển ngang và tiếp tục bền bỉ, do đó cho phép nó thiết lập một kênh bí mật giữa máy chủ ESXi và các máy ảo khách của nó.

"Kênh giao tiếp mở giữa khách và máy chủ, trong đó một trong hai vai trò có thể đóng vai trò là máy khách hoặc máy chủ, đã cho phép một phương tiện kiên trì mới để lấy lại quyền truy cập trên máy chủ ESXi có cửa hậu miễn là cửa hậu được triển khai và kẻ tấn công có được quyền truy cập ban đầu vào bất kỳ máy chủ nào. máy khách," công ty cho biết.

Sự phát triển này diễn ra khi nhà nghiên cứu Sina Kheirkhah của Nhóm triệu hồi tiết lộ ba lỗ hổng khác nhau trong VMware Aria Operations for Networks (CVE-2023-20887, CVE-2023-20888 và CVE-2023-20889) có thể dẫn đến thực thi mã từ xa.

"UNC3886 tiếp tục đưa ra những thách thức cho các nhà điều tra bằng cách vô hiệu hóa và can thiệp vào các dịch vụ ghi nhật ký, loại bỏ có chọn lọc các sự kiện nhật ký liên quan đến hoạt động của họ", nó nói thêm. "Việc dọn dẹp hồi tố của các tác nhân đe dọa được thực hiện trong vòng vài ngày kể từ khi tiết lộ công khai trước đây về hoạt động của chúng cho thấy mức độ cảnh giác của chúng."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky: Botnet được rao bán với giá c...

16/07/2024 02:00:00 16
Các chuyên gia tại Kaspersky Digital Footprint đã phân tích hành vi rao bán botnet trên các trang da...

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 537
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 1.112
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 997
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 95
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 940
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...
Xem thêm

LIÊN HỆ

Thông tin liên hệ