El grupo de hackers chinos patrocinado por el estado, UNC3886, está explotando una vulnerabilidad zero-day (CVE-2023-20867) en los anfitriones de VMware ESXi para infiltrarse en los sistemas de Windows y Linux. La falla permite la ejecución de comandos privilegiados en máquinas virtuales (VMs) invitadas sin la necesidad de autenticación de credenciales de invitado, según la firma de ciberseguridad Mandiant. El grupo usa esta vulnerabilidad para introducir puertas traseras en los sistemas, desplegando su malware VIRTUALPITA y VIRTUALPIE en los servidores VMware ESXi y vCenter. Anteriormente, UNC3886 también explotó una falla de seguridad en el sistema operativo Fortinet FortiOS.
El grupo tiene como objetivo organizaciones en los sectores de defensa, tecnología y telecomunicaciones, particularmente en los EE.UU., Japón y la región Asia-Pacífico. Las capacidades de UNC3886 incluyen comprender y utilizar defectos en el software de firewall y virtualización, extraer credenciales de los servidores vCenter y transferir archivos hacia y desde las VMs invitadas desde hosts ESXi comprometidos.
Una característica interesante de la técnica de UNC3886 es su uso de los sockets de la Interfaz de Comunicación de Máquinas Virtuales (VMCI) para el movimiento lateral y persistencia, lo que le permite establecer un canal clandestino entre el host y las VMs invitadas. Esto les proporciona un medio novedoso de persistencia en un host con puerta trasera siempre y cuando el atacante pueda obtener acceso inicial a cualquier máquina invitada. La vigilancia de UNC3886 es evidente en sus esfuerzos por borrar sus huellas manipulando servicios de registro y eliminando selectivamente eventos de registro relacionados.
Source: The Hacker News
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.