Esclusivo: gli hacker cinesi hanno sfruttato lo 0-Day di VMware per un anno e mezzo riporta Mandiant

Gli specialisti di Mandiant  hanno scoperto che un gruppo di hacker cinese ha sfruttato una vulnerabilità critica in VMware vCenter Server (CVE-2023-34048) come 0-day almeno dalla fine del 2021.

Ricordiamo che questa vulnerabilità è stata risolta nell’ottobre dello scorso anno. VMware ha recentemente confermato di essere a conoscenza di aggressori che sfruttavano CVE-2023-34048, ma non sono stati forniti dettagli su questi attacchi.

Ora si è saputo che questa vulnerabilità è stata sfruttata dal gruppo cinese di spionaggio informatico UNC3886 nell’ambito di una campagna scoperta nel giugno 2023. Le spie informatiche hanno utilizzato il CVE-2023-34048 per hackerare i server vCenter delle loro vittime. Hanno compromesso le credenziali per passare alla distribuzione di backdoor VirtualPita e VirtualPie sugli host ESXi utilizzando vSphere Installation Bundle (VIB) dannosi.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nella fase successiva, gli aggressori hanno utilizzato una vulnerabilità di bypass dell’autenticazione in VMware Tools (CVE-2023-20867). Tale bug ha consentito di aumentare i privilegi, raccogliere e rubare file dalle macchine virtuali ospiti.

Tuttavia, gli specialisti di Mandiant in precedenza non sapevano esattamente come gli aggressori ottenessero un accesso privilegiato ai server vCenter. 

Ciò che stava accadendo divenne chiaro solo alla fine del 2023, quando il servizio VMware vmdird andò in crash, in totale coincidenza con lo sfruttamento del CVE-2023-34048.

“Sebbene sia stato pubblicamente segnalato, la vulnerabilità è stata corretta nell’ottobre 2023. Mandiant ha osservato fallimenti simili in diversi attacchi UNC3886 tra la fine del 2021 e l’inizio del 2022. Cioè, per circa un anno e mezzo, gli aggressori hanno avuto accesso a questa vulnerabilità, dicono gli esperti di Mandiant. Nella maggior parte degli ambienti in cui sono stati osservati tali errori, le voci di registro sono state preservate, ma i dump di vmdird stessi sono stati eliminati. Molto probabilmente sono stati cancellati deliberatamente dagli aggressori nel tentativo di coprire le loro tracce.”

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.