Новости 0-day уязвимость в VMware ESXi позволила китайским хакерам UNC3886 заражать виртуальные машины скрытым вредоносным ПО

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Эксперты Mandiant считают, что злоумышленники обладают богатыми знаниями и недюжинным опытом для работы со столь сложными технологиями.


6vy0dw5afoymuv601gu7nbl8ajes0gce.jpg


Компания VMware выпустила обновление безопасности для устранения уязвимости в своём гипервизоре ESXi , которая активно использовалась китайской хакерской группой для взлома виртуальных машин Windows и Linux с целью кражи данных.

Для просмотра ссылки Войди или Зарегистрируйся исследователи Mandiant , которые и обнаружили эти атаки, киберпреступная группа, известная под кодовым названием UNC3886 , злоупотребляла уязвимостью нулевого дня Для просмотра ссылки Войди или Зарегистрируйся в VMware Tools , позволяющей обойти аутентификацию между гипервизором и гостевыми виртуальными машинами. Таким образом, злоумышленники развёртывали на зараженных виртуальных машинах скрытые бэкдоры VirtualPita и VirtualPie и получали привилегии суперпользователя.

«Полностью скомпрометированный хост ESXi может привести к тому, что VMware Tools не сможет проверить подлинность операций между хостом и гостевой виртуальной машиной, что ставит под угрозу конфиденциальность и целостность гостевой виртуальной машины», — говорится в Для просмотра ссылки Войди или Зарегистрируйся по безопасности VMware.

Атакующие устанавливали вредоносное ПО с помощью специально созданных пакетов vSphere Installation Bundles (VIBs), предназначенных для создания и поддержки образов ESXi.

Ещё один тип вредоносного ПО, VirtualGate, который Mandiant заметила в ходе расследования, действовал как дроппер, расшифровывающий DLL -файлы второго этапа заражения на захваченных виртуальных машинах.

«Этот открытый канал связи между гостевой и хостовой системами, где любая из них может выступать в роли клиента или сервера, позволяет создать новый способ сохранения доступа к поддельному хосту ESXi до тех пор, пока не будет развернут полноценный бэкдор, а злоумышленник не получит доступ к любой гостевой машине», — сообщает Mandiant.

«Это ещё раз подтверждает глубокое понимание и технические знания ESXi, vCenter и платформы виртуализации VMware со стороны хакеров UNC3886. Группировка продолжает атаковать устройства и платформы, которые традиционно не имеют EDR -решений и используют эксплойты нулевого дня на этих платформах», — добавили специалисты.

В марте Mandiant также сообщала, что те же китайские киберпреступники UNC3886 Для просмотра ссылки Войди или Зарегистрируйся нулевого дня ( Для просмотра ссылки Войди или Зарегистрируйся ) в похожей кампании с середины 2022 года для компрометации устройств межсетевого экрана FortiGate и развёртывания ранее неизвестных бэкдоров Castletap и Thincrust. Злоумышленники использовали доступ, полученный после взлома устройств Fortinet и сохранения постоянства на устройствах FortiManager и FortiAnalyzer, для горизонтального перемещения по сети жертв.

По мнению Mandiant, использование UNC3886 широкого спектра новых семейств вредоносного ПО и злонамеренных инструментов, специально адаптированных для атакуемых платформ, свидетельствует о значительных возможностях хакеров и чётком понимании сложных технологий, используемых на целевых устройствах.
 
Источник новости
www.securitylab.ru

Похожие темы