Esclusivo: gli hacker cinesi hanno sfruttato lo 0-Day di VMware per un anno e mezzo riporta Mandiant

Redazione RHC : 22 Gennaio 2024 16:34

Gli specialisti di Mandiant  hanno scoperto che un gruppo di hacker cinese ha sfruttato una vulnerabilità critica in VMware vCenter Server (CVE-2023-34048) come 0-day almeno dalla fine del 2021.

Ricordiamo che questa vulnerabilità è stata risolta nell’ottobre dello scorso anno. VMware ha recentemente confermato di essere a conoscenza di aggressori che sfruttavano CVE-2023-34048, ma non sono stati forniti dettagli su questi attacchi.

Ora si è saputo che questa vulnerabilità è stata sfruttata dal gruppo cinese di spionaggio informatico UNC3886 nell’ambito di una campagna scoperta nel giugno 2023. Le spie informatiche hanno utilizzato il CVE-2023-34048 per hackerare i server vCenter delle loro vittime. Hanno compromesso le credenziali per passare alla distribuzione di backdoor VirtualPita e VirtualPie sugli host ESXi utilizzando vSphere Installation Bundle (VIB) dannosi.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Nella fase successiva, gli aggressori hanno utilizzato una vulnerabilità di bypass dell’autenticazione in VMware Tools (CVE-2023-20867). Tale bug ha consentito di aumentare i privilegi, raccogliere e rubare file dalle macchine virtuali ospiti.

Tuttavia, gli specialisti di Mandiant in precedenza non sapevano esattamente come gli aggressori ottenessero un accesso privilegiato ai server vCenter. 

Ciò che stava accadendo divenne chiaro solo alla fine del 2023, quando il servizio VMware vmdird andò in crash, in totale coincidenza con lo sfruttamento del CVE-2023-34048.

“Sebbene sia stato pubblicamente segnalato, la vulnerabilità è stata corretta nell’ottobre 2023. Mandiant ha osservato fallimenti simili in diversi attacchi UNC3886 tra la fine del 2021 e l’inizio del 2022. Cioè, per circa un anno e mezzo, gli aggressori hanno avuto accesso a questa vulnerabilità, dicono gli esperti di Mandiant. Nella maggior parte degli ambienti in cui sono stati osservati tali errori, le voci di registro sono state preservate, ma i dump di vmdird stessi sono stati eliminati. Molto probabilmente sono stati cancellati deliberatamente dagli aggressori nel tentativo di coprire le loro tracce.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli