Nhóm hacking do nhà nước Trung Quốc tài trợ, UNC3886, đang khai thác lỗ hổng zero-day (CVE-2023-20867) trong các máy chủ VMware ESXi để xâm nhập vào hệ thống Windows và Linux. Theo công ty an ninh mạng Mandiant, lỗ hổng này cho phép thực hiện các lệnh ưu tiên trên các máy ảo (VMs) khách mà không cần xác thực quyền khách. Nhóm này sử dụng lỗ hổng này để đặt cửa sau vào hệ thống, triển khai malware VIRTUALPITA và VIRTUALPIE của mình vào máy chủ VMware ESXi và vCenter. Trước đó, UNC3886 cũng đã khai thác một lỗ hổng bảo mật trong hệ điều hành Fortinet FortiOS.
Nhóm này nhắm vào các tổ chức trong các ngành quốc phòng, công nghệ và viễn thông, đặc biệt là ở Mỹ, Nhật Bản và khu vực Châu Á – Thái Bình Dương. Khả năng của UNC3886 bao gồm việc hiểu và vũ khí hóa các lỗ hổng trong phần mềm tường lửa và ảo hóa, trích xuất thông tin xác thực từ các máy chủ vCenter và chuyển các tệp đến/từ VMs khách từ các máy chủ ESXi bị xâm nhập.
Một tính năng thú vị của kỹ thuật UNC3886 là việc sử dụng các socket Giao diện Truyền thông Máy ảo (VMCI) cho việc di chuyển bên cạnh và kiên trì, cho phép nó thiết lập một kênh bí mật giữa máy chủ và VMs khách. Điều này cung cấp cho họ một phương thức kiên trì mới trên máy chủ đã bị đặt cửa sau miễn là kẻ tấn công có thể tiếp cận ban đầu bất kỳ máy khách nào. Sự cảnh giác của UNC3886 được thể hiện rõ ràng trong các nỗ lực của nó để xóa dấu vết của mình bằng cách thao tác dịch vụ ghi nhật ký và loại bỏ selectivelly các sự kiện nhật ký liên quan.
Source: The Hacker News
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.