Redazione RHC : 14 Giugno 2023 14:11
VMware ha rilasciato un aggiornamento di sicurezza per correggere una vulnerabilità nel suo hypervisor ESXi, che è stato attivamente utilizzato da un gruppo di hacker cinese per entrare nelle macchine virtuali Windows e Linux al fine di rubare i dati.
Il gruppo di criminali informatici, nome in codice UNC3886, avrebbe sfruttato la vulnerabilità zero-day CVE-2023-20867 dei VMware Tools per aggirare l’autenticazione tra l’hypervisor e le macchine virtuali guest, secondo i ricercatori di Mandiant che hanno scoperto questi attacchi.
Pertanto, gli aggressori hanno implementato delle backdoor VirtualPita e VirtualPie nascoste su macchine virtuali infette e ottenuto privilegi di superutente.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
“Un host ESXi completamente compromesso potrebbe impedire a VMware Tools di autenticare le transazioni tra l’host e la macchina virtuale guest, compromettendo la riservatezza e l’integrità della macchina virtuale guest”, afferma l’avviso di sicurezza ufficiale di VMware .
Gli aggressori hanno installato dei malware utilizzando pacchetti di installazione vSphere (VIB) appositamente predisposti progettati per creare e mantenere infette le immagini ESXi.
Un altro tipo di malware, VirtualGate, che Mandiant ha notato nel corso della sua indagine, ha agito come un dropper che ha decrittografato i file DLL della seconda fase dell’infezione sulle macchine virtuali acquisite.
“Questo canale di comunicazione aperto tra i sistemi guest e host, in cui entrambi possono agire come client o server, consente di creare un nuovo modo per mantenere l’accesso a un falso host ESXi fino a quando non viene implementata una backdoor completa e un utente malintenzionato ottiene accesso a qualsiasi macchina ospite”, ha affermato Mandiant.
“Ciò conferma ancora una volta la profonda comprensione e conoscenza tecnica di ESXi, vCenter e della piattaforma di virtualizzazione VMware da parte degli hacker UNC3886. Il gruppo continua ad attaccare dispositivi e piattaforme che tradizionalmente non dispongono di soluzioni EDR e utilizza exploit zero-day su queste piattaforme”, hanno aggiunto gli esperti.
A marzo, Mandiant ha anche riferito che gli stessi criminali informatici cinesi di UNC3886 hanno utilizzato un’altra vulnerabilità zero-day (CVE-2022-41328) in una campagna simile dalla metà del 2022 per compromettere i dispositivi firewall FortiGate e distribuire backdoor Castletap e Thincrust precedentemente sconosciute.
Gli aggressori hanno utilizzato l’accesso ottenuto dopo aver violato i dispositivi Fortinet e la persistenza sui dispositivi FortiManager e FortiAnalyzer per attraversare la rete della vittima.
Secondo Mandiant, l’utilizzo da parte di UNC3886 di un’ampia gamma di nuove famiglie di malware e strumenti dannosi specificamente adattati alle piattaforme sotto attacco dimostra le capacità significative degli hacker e una chiara comprensione delle complesse tecnologie utilizzate sui dispositivi di destinazione.
RedazioneUna violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...
Negli ultimi mesi mi sono trovato più volte a redigere querele per video falsi che circolavano online. Non parliamo soltanto di contenuti rubati e diffusi senza consenso, ma anche di deepfake: filmat...
Le aziende appaltatrici della difesa statunitense stanno sviluppando uno strumento di intelligenza artificiale chiamato Cyber Resilience On-Orbit (CROO) per rilevare attacchi informatici ai satelliti ...
