外媒诬称,至少自2021年底以来,一个中国黑客组织一直在利用一个关键的vCenter Server漏洞(CVE-2023-34048)作为零日漏洞。
该漏洞已于10月得到修复,VMware本周三确认其已发现CVE-2023-34048的野外利用情况,但没有透露有关攻击的任何其他详细信息。
然而,正如网络安全公司Mandiant透露的那样,该漏洞被号称来自中国的网络黑客组织UNC3886利用,该黑客活动于2023年6月曝光。
网络黑客利用该漏洞入侵目标的vCenter服务器,并泄露凭证,通过恶意制作的vSphere Installation Bundles(VIB)在ESXi主机上部署VirtualPita和VirtualPie后门。
在下一阶段,他们利用VMware Tools身份验证绕过漏洞(CVE-2023-20867)来提升权限、收集文件,并将其从客户虚拟机中窃取。
虽然到目前为止,Mandiant并不知道攻击者如何获得对受害者vCenter服务器的访问权限的,但在2023年底,VMwarevmdird服务崩溃,后门部署前几分钟发生的VMware vmdird服务崩溃事件与CVE-2023-34048漏洞利用密切相关,从而证明了两者之间的联系。
Mandiant在上周五表示:“虽然2023年10月公开报告后修补了该漏洞,但Mandiant在2021年底至2022年初期间的多个UNC3886攻击的案例中观察到了这些崩溃现象,这为攻击者使用此漏洞留下了大约一年半的时间。”。
“观察到这些崩溃的大多数环境都保留了日志条目,但‘vmdird’核心转储本身已被删除。“
“VMware的默认配置会在系统上无限期地保留核心转储,这表明攻击者是故意删除了核心转储,以试图掩盖其踪迹。”
号称来自中国的UNC3886以专注于美国和亚太及日本地区的国防、政府、电信和技术部门的组织而闻名。
外媒称中国网络间谍最喜欢攻击的目标是存在零日安全漏洞的防火墙和虚拟化平台,这些平台不具备端点检测和响应(EDR)功能,因此更难检测和阻止他们的攻击。
去年3月份,Mandiant还透露,他们还在同一活动中滥用了Fortinet零日漏洞(CVE-2022-41328),入侵了FortiGate的防火墙设备并安装以前未知的Castletap和Thincrust后门。
Fortinet当时表示:“这次攻击具有很强的针对性,有一些迹象表明是首选了政府或与政府相关的目标。”
“该漏洞需要对FortiOS和底层硬件有深入的了解。定制植入表明,攻击者具有顶尖的能力,包括对FortiOS的各个部分进行逆向工程。”