Tin tặc Trung Quốc khai thác VMware Zero-Day để mở cửa hậu cho các hệ thống Windows và Linux

www.tuoitre.vn -   19/06/2023 08:00:00 1286

Một nhóm do nhà nước Trung Quốc tài trợ có tên UNC3886 đã bị phát hiện khai thác lỗ hổng zero-day trong máy chủ VMware ESXi để mở cửa hậu cho các hệ thống Windows và Linux.

Một nhóm do nhà nước Trung Quốc tài trợ có tên UNC3886 đã bị phát hiện khai thác lỗ hổng zero-day trong máy chủ VMware ESXi để mở cửa hậu cho các hệ thống Windows và Linux.

Lỗ hổng bỏ qua xác thực VMware Tools, được theo dõi là CVE-2023-20867 (điểm CVSS: 3,9), "cho phép thực thi các lệnh đặc quyền trên máy ảo khách Windows, Linux và PhotonOS (vCenter) mà không cần xác thực thông tin xác thực của khách từ máy chủ ESXi bị xâm phạm và không có đăng nhập mặc định trên máy ảo khách," Mandiant nói.

UNC3886 ban đầu được công ty tình báo mối đe dọa thuộc sở hữu của Google ghi lại vào tháng 9 năm 2022 với tư cách là một tác nhân gián điệp mạng lây nhiễm các máy chủ VMware ESXi và vCenter bằng các cửa hậu có tên VIRTUALPITA và VIRTUALPIE.

Đầu tháng 3 này, nhóm này có liên quan đến việc khai thác lỗ hổng bảo mật nghiêm trọng trung bình hiện đã được vá trong hệ điều hành Fortinet FortiOS để triển khai các phần mềm cấy ghép trên các thiết bị mạng và tương tác với phần mềm độc hại nói trên.

Tác nhân đe dọa đã được mô tả là một tập thể đối thủ "rất lão luyện" nhắm mục tiêu vào các tổ chức quốc phòng, công nghệ và viễn thông ở Hoa Kỳ, Nhật Bản và khu vực Châu Á - Thái Bình Dương.

Các nhà nghiên cứu của Mandiant cho biết: “Nhóm có quyền truy cập vào nghiên cứu sâu rộng và hỗ trợ để hiểu công nghệ cơ bản của các thiết bị đang được nhắm mục tiêu,” đồng thời chỉ ra mô hình vũ khí hóa các lỗ hổng trong tường lửa và phần mềm ảo hóa không hỗ trợ các giải pháp EDR.

Là một phần trong nỗ lực khai thác các hệ thống ESXi, kẻ đe dọa cũng đã được quan sát thấy đang thu thập thông tin đăng nhập từ các máy chủ vCenter cũng như lạm dụng CVE-2023-20867 để thực thi các lệnh và truyền tệp đến và từ các máy ảo khách từ máy chủ ESXi bị xâm nhập.

Một khía cạnh đáng chú ý trong thủ công của UNC3886 là việc sử dụng các ổ cắm Giao diện giao tiếp máy ảo (VMCI) để di chuyển ngang và tiếp tục bền bỉ, do đó cho phép nó thiết lập một kênh bí mật giữa máy chủ ESXi và các máy ảo khách của nó.

"Kênh giao tiếp mở giữa khách và máy chủ, trong đó một trong hai vai trò có thể đóng vai trò là máy khách hoặc máy chủ, đã cho phép một phương tiện kiên trì mới để lấy lại quyền truy cập trên máy chủ ESXi có cửa hậu miễn là cửa hậu được triển khai và kẻ tấn công có được quyền truy cập ban đầu vào bất kỳ máy chủ nào. máy khách," công ty cho biết.

Sự phát triển này diễn ra khi nhà nghiên cứu Sina Kheirkhah của Nhóm triệu hồi tiết lộ ba lỗ hổng khác nhau trong VMware Aria Operations for Networks (CVE-2023-20887, CVE-2023-20888 và CVE-2023-20889) có thể dẫn đến thực thi mã từ xa.

"UNC3886 tiếp tục đưa ra những thách thức cho các nhà điều tra bằng cách vô hiệu hóa và can thiệp vào các dịch vụ ghi nhật ký, loại bỏ có chọn lọc các sự kiện nhật ký liên quan đến hoạt động của họ", nó nói thêm. "Việc dọn dẹp hồi tố của các tác nhân đe dọa được thực hiện trong vòng vài ngày kể từ khi tiết lộ công khai trước đây về hoạt động của chúng cho thấy mức độ cảnh giác của chúng."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 82
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 74
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 198
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 160
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 44
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 35
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

LIÊN HỆ

Thông tin liên hệ