Группа хакеров из Китая, поддерживаемая государством, UNC3886, использует уязвимость zero-day (CVE-2023-20867) в хостах VMware ESXi, чтобы проникнуть в системы Windows и Linux. Этот недостаток позволяет выполнять привилегированные команды на виртуальных машинах (VM) без необходимости аутентификации учетных данных гостя, согласно компании по кибербезопасности Mandiant. Группа использует эту уязвимость, чтобы подключиться к системам через “заднюю дверь”, развертывая свое вредоносное ПО VIRTUALPITA и VIRTUALPIE на серверах VMware ESXi и vCenter. Ранее UNC3886 также использовала уязвимость в системе безопасности операционной системы Fortinet FortiOS.
Группа нацеливается на организации в оборонной, технологической и телекоммуникационной отраслях, в частности в США, Японии и регионе Азиатско-Тихоокеанского региона. Возможности UNC3886 включают понимание и использование уязвимостей в программном обеспечении для межсетевых экранов и виртуализации, извлечение учетных данных с серверов vCenter и передачу файлов от/к гостевым ВМ с зараженных хостов ESXi.
Интересной особенностью техники UNC3886 является использование сокетов Интерфейса Коммуникации Виртуальных Машин (VMCI) для бокового перемещения и сохранения, что позволяет им устанавливать тайный канал между хостом и гостевыми ВМ. Это обеспечивает им новый способ удержания на зараженном хосте, если атакующий может получить начальный доступ к любой гостевой машине. Бдительность UNC3886 проявляется в их усилиях стереть следы, манипулируя службами ведения журнала и выборочно удаляя соответствующие события журнала.
Source: The Hacker News
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.