Il gruppo di hacker sponsorizzato dallo stato cinese, UNC3886, sta sfruttando una vulnerabilità zero-day (CVE-2023-20867) negli host VMware ESXi per infiltrarsi nei sistemi Windows e Linux. La falla consente l’esecuzione di comandi privilegiati su macchine virtuali ospiti (VM) senza la necessità di autenticazione delle credenziali ospiti, secondo la società di cybersecurity Mandiant. Il gruppo utilizza questa vulnerabilità per impiantare backdoor nei sistemi, distribuendo il suo malware VIRTUALPITA e VIRTUALPIE su server VMware ESXi e vCenter. In precedenza, UNC3886 ha anche sfruttato una falla di sicurezza nel sistema operativo Fortinet FortiOS.
Il gruppo prende di mira organizzazioni nel settore della difesa, della tecnologia e delle telecomunicazioni, in particolare negli Stati Uniti, in Giappone e nella regione dell’Asia-Pacifico. Le capacità di UNC3886 includono la comprensione e l’arma dei difetti nel software di firewall e virtualizzazione, l’estrazione di credenziali dai server vCenter e il trasferimento di file da e verso VM ospiti da host ESXi compromessi.
Una caratteristica interessante della tecnica di UNC3886 è il suo uso delle prese di interfaccia di comunicazione delle macchine virtuali (VMCI) per il movimento laterale e la persistenza, consentendole di creare un canale clandestino tra l’host e le VM ospiti. Questo fornisce loro un nuovo mezzo di persistenza su un host con backdoor finché l’attaccante può ottenere l’accesso iniziale a qualsiasi macchina ospite. La vigilanza di UNC3886 è evidente nei suoi sforzi per cancellare le sue tracce manipolando i servizi di registrazione e eliminando selettivamente gli eventi di log correlati.
Source: The Hacker News
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.