Эксперты Mandiant считают, что злоумышленники обладают богатыми знаниями и недюжинным опытом для работы со столь сложными технологиями.
Компания VMware выпустила обновление безопасности для устранения уязвимости в своём гипервизоре ESXi , которая активно использовалась китайской хакерской группой для взлома виртуальных машин Windows и Linux с целью кражи данных.
Для просмотра ссылки Войдиили Зарегистрируйся исследователи Mandiant , которые и обнаружили эти атаки, киберпреступная группа, известная под кодовым названием UNC3886 , злоупотребляла уязвимостью нулевого дня Для просмотра ссылки Войди или Зарегистрируйся в VMware Tools , позволяющей обойти аутентификацию между гипервизором и гостевыми виртуальными машинами. Таким образом, злоумышленники развёртывали на зараженных виртуальных машинах скрытые бэкдоры VirtualPita и VirtualPie и получали привилегии суперпользователя.
«Полностью скомпрометированный хост ESXi может привести к тому, что VMware Tools не сможет проверить подлинность операций между хостом и гостевой виртуальной машиной, что ставит под угрозу конфиденциальность и целостность гостевой виртуальной машины», — говорится в Для просмотра ссылки Войдиили Зарегистрируйся по безопасности VMware.
Атакующие устанавливали вредоносное ПО с помощью специально созданных пакетов vSphere Installation Bundles (VIBs), предназначенных для создания и поддержки образов ESXi.
Ещё один тип вредоносного ПО, VirtualGate, который Mandiant заметила в ходе расследования, действовал как дроппер, расшифровывающий DLL -файлы второго этапа заражения на захваченных виртуальных машинах.
«Этот открытый канал связи между гостевой и хостовой системами, где любая из них может выступать в роли клиента или сервера, позволяет создать новый способ сохранения доступа к поддельному хосту ESXi до тех пор, пока не будет развернут полноценный бэкдор, а злоумышленник не получит доступ к любой гостевой машине», — сообщает Mandiant.
«Это ещё раз подтверждает глубокое понимание и технические знания ESXi, vCenter и платформы виртуализации VMware со стороны хакеров UNC3886. Группировка продолжает атаковать устройства и платформы, которые традиционно не имеют EDR -решений и используют эксплойты нулевого дня на этих платформах», — добавили специалисты.
В марте Mandiant также сообщала, что те же китайские киберпреступники UNC3886 Для просмотра ссылки Войдиили Зарегистрируйся нулевого дня ( Для просмотра ссылки Войди или Зарегистрируйся ) в похожей кампании с середины 2022 года для компрометации устройств межсетевого экрана FortiGate и развёртывания ранее неизвестных бэкдоров Castletap и Thincrust. Злоумышленники использовали доступ, полученный после взлома устройств Fortinet и сохранения постоянства на устройствах FortiManager и FortiAnalyzer, для горизонтального перемещения по сети жертв.
По мнению Mandiant, использование UNC3886 широкого спектра новых семейств вредоносного ПО и злонамеренных инструментов, специально адаптированных для атакуемых платформ, свидетельствует о значительных возможностях хакеров и чётком понимании сложных технологий, используемых на целевых устройствах.
Компания VMware выпустила обновление безопасности для устранения уязвимости в своём гипервизоре ESXi , которая активно использовалась китайской хакерской группой для взлома виртуальных машин Windows и Linux с целью кражи данных.
Для просмотра ссылки Войди
«Полностью скомпрометированный хост ESXi может привести к тому, что VMware Tools не сможет проверить подлинность операций между хостом и гостевой виртуальной машиной, что ставит под угрозу конфиденциальность и целостность гостевой виртуальной машины», — говорится в Для просмотра ссылки Войди
Атакующие устанавливали вредоносное ПО с помощью специально созданных пакетов vSphere Installation Bundles (VIBs), предназначенных для создания и поддержки образов ESXi.
Ещё один тип вредоносного ПО, VirtualGate, который Mandiant заметила в ходе расследования, действовал как дроппер, расшифровывающий DLL -файлы второго этапа заражения на захваченных виртуальных машинах.
«Этот открытый канал связи между гостевой и хостовой системами, где любая из них может выступать в роли клиента или сервера, позволяет создать новый способ сохранения доступа к поддельному хосту ESXi до тех пор, пока не будет развернут полноценный бэкдор, а злоумышленник не получит доступ к любой гостевой машине», — сообщает Mandiant.
«Это ещё раз подтверждает глубокое понимание и технические знания ESXi, vCenter и платформы виртуализации VMware со стороны хакеров UNC3886. Группировка продолжает атаковать устройства и платформы, которые традиционно не имеют EDR -решений и используют эксплойты нулевого дня на этих платформах», — добавили специалисты.
В марте Mandiant также сообщала, что те же китайские киберпреступники UNC3886 Для просмотра ссылки Войди
По мнению Mandiant, использование UNC3886 широкого спектра новых семейств вредоносного ПО и злонамеренных инструментов, специально адаптированных для атакуемых платформ, свидетельствует о значительных возможностях хакеров и чётком понимании сложных технологий, используемых на целевых устройствах.
- Источник новости
- www.securitylab.ru