VMware昨天修补了一个VMware ESXi的零日漏洞,美网络安全公司曼迪昂特(Mandiant)称该漏洞被一个中国发起的黑客组织利用来对Windows和Linux虚拟机进行后门攻击并窃取数据。
Mandiant号称发现了这个网络间谍组织,并将其称为UNC3886,其称该组织利用CVE-2023-20867 VMware Tools认证绕过漏洞,在被攻击的ESXi主机的客户虚拟机上部署VirtualPita和VirtualPie后门,他们将权限提升到root。
“完全受损的ESXi主机可能会迫使VMware Tools无法验证主机到客户的操作,从而影响客户虚拟机的机密性和完整性。”VMware在今天的安全公告中表示。
攻击者使用恶意制作的vSphere安装包(VIB)安装后门恶意软件,这些包旨在帮助管理员创建和维护ESXi映像。
Mandiant在调查期间发现的第三种恶意软件变种(VirtualGate)充当纯内存植入程序,对被劫持虚拟机上的第二阶段DLL有效负载进行去混淆处理。
“客户机和主机之间的这种开放式通信通道,其中任何一个角色都可以充当客户端或服务器,只要部署了后门并且攻击者获得了对任何一个的初始访问权限,就启用了一种新的持久性方法来重新获得对有后门的ESXi主机的访问权限。”Mandiant说。
“这[..]进一步加强了UNC3886对ESXi、vCenter和VMware虚拟化平台的深刻理解和技术知识。UNC3886继续针对传统上缺乏EDR解决方案的设备和平台,并在这些平台上利用零日攻击。”
3月,Mandiant还称,UNC3886黑客在2022年年中的同一活动中滥用了一个零日漏洞(CVE-2022-41328),入侵了FortiGate防火墙设备,并部署了以前未知的Castletap和Thincrust后门。
他们利用入侵Fortinet设备并在FortiManager和FortiAnalyzer设备上获得持久性后获得的访问权限,在受害者的网络中横向移动。
在下一阶段,他们使用VirtualPita和VirtualPie恶意软件为ESXi和vCenter机器设置后门,以确保他们的恶意活动不被发现。
Fortinet说:“这次攻击具有很强的针对性,有一些迹象表明是首选政府或与政府相关的目标。”
“利用该漏洞需要对FortiOS和底层硬件有深入的了解。自定义植入表明攻击者具有高级功能,包括对FortiOS的各个部分进行逆向工程。”
这个网络间谍组织以集中攻击美国和亚太地区的国防、政府、电信和技术部门的组织而闻名。
他们最喜欢的目标是不具备端点检测和响应(EDR)功能的防火墙和虚拟化平台的零日漏洞。
根据Mandiant的说法,UNC3886使用范围广泛的新恶意软件系列和专门为其目标平台量身定制的恶意工具,这表明其具有强大的研究能力以及理解目标设备所采用的复杂技术的非凡能力。
Mandiant首席技术官查尔斯卡马卡尔(Charles Carmakal)表示:“这个间谍活动的延续,已经持续了多年。这种技术是非常聪明的,而且很难发现。我们确信还有其他正在处理这个问题的受害者还不知道。”
“他们已经通过成熟的安全程序成功地入侵了国防、技术和电信组织。”