Esclusivo: gli hacker cinesi hanno sfruttato lo 0-Day di VMware per un anno e mezzo riporta Mandiant

Redazione RHC : 22 Gennaio 2024 16:34

Gli specialisti di Mandiant  hanno scoperto che un gruppo di hacker cinese ha sfruttato una vulnerabilità critica in VMware vCenter Server (CVE-2023-34048) come 0-day almeno dalla fine del 2021.

Ricordiamo che questa vulnerabilità è stata risolta nell’ottobre dello scorso anno. VMware ha recentemente confermato di essere a conoscenza di aggressori che sfruttavano CVE-2023-34048, ma non sono stati forniti dettagli su questi attacchi.

Ora si è saputo che questa vulnerabilità è stata sfruttata dal gruppo cinese di spionaggio informatico UNC3886 nell’ambito di una campagna scoperta nel giugno 2023. Le spie informatiche hanno utilizzato il CVE-2023-34048 per hackerare i server vCenter delle loro vittime. Hanno compromesso le credenziali per passare alla distribuzione di backdoor VirtualPita e VirtualPie sugli host ESXi utilizzando vSphere Installation Bundle (VIB) dannosi.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nella fase successiva, gli aggressori hanno utilizzato una vulnerabilità di bypass dell’autenticazione in VMware Tools (CVE-2023-20867). Tale bug ha consentito di aumentare i privilegi, raccogliere e rubare file dalle macchine virtuali ospiti.

Tuttavia, gli specialisti di Mandiant in precedenza non sapevano esattamente come gli aggressori ottenessero un accesso privilegiato ai server vCenter. 

Ciò che stava accadendo divenne chiaro solo alla fine del 2023, quando il servizio VMware vmdird andò in crash, in totale coincidenza con lo sfruttamento del CVE-2023-34048.

“Sebbene sia stato pubblicamente segnalato, la vulnerabilità è stata corretta nell’ottobre 2023. Mandiant ha osservato fallimenti simili in diversi attacchi UNC3886 tra la fine del 2021 e l’inizio del 2022. Cioè, per circa un anno e mezzo, gli aggressori hanno avuto accesso a questa vulnerabilità, dicono gli esperti di Mandiant. Nella maggior parte degli ambienti in cui sono stati osservati tali errori, le voci di registro sono state preservate, ma i dump di vmdird stessi sono stati eliminati. Molto probabilmente sono stati cancellati deliberatamente dagli aggressori nel tentativo di coprire le loro tracce.”

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli