VMware 今天修補了一個 VMware ESXi 零日漏洞,該漏洞被某國贊助的黑客組織利用來后門 Windows 和 Linux 虛擬機并竊取數據。

網絡間諜組織——被發現攻擊的網絡安全公司 Mandiant 追蹤為 UNC3886——使用 CVE-2023-20867 VMware Tools 身份驗證繞過漏洞, 在來自受感染 ESXi 主機的來賓虛擬機上部署 VirtualPita 和 VirtualPie 后門,在那里他們將特權提升為 root。

“受損的 ESXi 主機可能會迫使 VMware Tools 無法驗證主機到客戶的操作,從而影響客戶虛擬機的機密性和完整性。”VMware 在今天的安全公告中表示。

攻擊者使用惡意制作的 vSphere 安裝包 (VIB) 安裝后門惡意軟件,這些包旨在幫助管理員創建和維護 ESXi 映像。

Mandiant 在調查期間發現的第三種惡意軟件變種 (VirtualGate) 充當純內存植入程序,對被劫持虛擬機上的第二階段 DLL 有效負載進行去混淆處理。

“來賓和主機之間的這種開放式通信通道,其中任何一個角色都可以充當客戶端或服務器,只要部署了后門并且攻擊者獲得了對任何一個的初始訪問權限,就啟用了一種新的持久性方法通過來賓虛擬機獲得對有后門的 ESXi 主機的訪問權限。” Mandiant 說。

“這進一步加強了 UNC3886 對 ESXi、vCenter 和 VMware 虛擬化平臺的深刻理解和技術知識。UNC3886 繼續針對傳統上缺乏 EDR 解決方案的設備和平臺,并在這些平臺上利用0Day漏洞攻擊。”

UNC3886 VMware 0day漏洞攻擊—Mandiant

3 月,Mandiant還透露,某國 UNC3886 黑客在 2022 年年中的同一活動中使用了一個0day漏洞 (CVE-2022-41328),以破壞 FortiGate 防火墻設備并部署以前未知的 Castletap 和 Thincrust 后門。

他們利用入侵 Fortinet 設備并在 FortiManager 和 FortiAnalyzer 設備上獲得持久性后獲得的訪問權限,在受害者網絡中橫向移動。

在下一階段,他們使用 VirtualPita 和 VirtualPie 惡意軟件為 ESXi 和 vCenter 機器設置后門,以確保他們的惡意活動不被發現。

Fortinet 說:“這次攻擊具有很強的針對性,有一些跡象表明是首選政府或與政府相關的目標。”

“利用該漏洞需要對 FortiOS 和底層硬件有深入的了解。自定義植入表明攻擊者具有高級功能,包括對 FortiOS 的各個部分進行逆向工程。”

Fortimanager 攻擊流程—Mandiant

這個網絡間諜組織以集中攻擊美國和 APJ 地區的國防、政府、電信和技術部門的組織而聞名。他們最喜歡的目標是沒有端點檢測和響應 (EDR) 功能的防火墻和虛擬化平臺中的0day漏洞。

根據 Mandiant 的說法,UNC3886 使用范圍廣泛的新惡意軟件系列和專門為其目標平臺量身定制的惡意工具,這表明其具有強大的研究能力以及理解目標設備所采用的復雜技術的非凡能力。

Mandiant 首席技術官查爾斯卡馬卡爾 (Charles Carmakal) 表示:“這是某國間諜活動的延續,已經持續了多年。這種攻擊手段非常聰明,很難被發現。我們確信還有其他受害者正在處理這個問題,但他們還不知道。”告訴 BleepingComputer。

“他們已經通過成熟的安全程序成功地入侵了國防、技術和電信組織。”

虛擬機 黑客 0day 網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接