Redazione RHC : 14 Giugno 2023 14:11
VMware ha rilasciato un aggiornamento di sicurezza per correggere una vulnerabilità nel suo hypervisor ESXi, che è stato attivamente utilizzato da un gruppo di hacker cinese per entrare nelle macchine virtuali Windows e Linux al fine di rubare i dati.
Il gruppo di criminali informatici, nome in codice UNC3886, avrebbe sfruttato la vulnerabilità zero-day CVE-2023-20867 dei VMware Tools per aggirare l’autenticazione tra l’hypervisor e le macchine virtuali guest, secondo i ricercatori di Mandiant che hanno scoperto questi attacchi.
Pertanto, gli aggressori hanno implementato delle backdoor VirtualPita e VirtualPie nascoste su macchine virtuali infette e ottenuto privilegi di superutente.CVE-2023-20867">
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
“Un host ESXi completamente compromesso potrebbe impedire a VMware Tools di autenticare le transazioni tra l’host e la macchina virtuale guest, compromettendo la riservatezza e l’integrità della macchina virtuale guest”, afferma l’avviso di sicurezza ufficiale di VMware .
Gli aggressori hanno installato dei malware utilizzando pacchetti di installazione vSphere (VIB) appositamente predisposti progettati per creare e mantenere infette le immagini ESXi.
Un altro tipo di malware, VirtualGate, che Mandiant ha notato nel corso della sua indagine, ha agito come un dropper che ha decrittografato i file DLL della seconda fase dell’infezione sulle macchine virtuali acquisite.
“Questo canale di comunicazione aperto tra i sistemi guest e host, in cui entrambi possono agire come client o server, consente di creare un nuovo modo per mantenere l’accesso a un falso host ESXi fino a quando non viene implementata una backdoor completa e un utente malintenzionato ottiene accesso a qualsiasi macchina ospite”, ha affermato Mandiant.
“Ciò conferma ancora una volta la profonda comprensione e conoscenza tecnica di ESXi, vCenter e della piattaforma di virtualizzazione VMware da parte degli hacker UNC3886. Il gruppo continua ad attaccare dispositivi e piattaforme che tradizionalmente non dispongono di soluzioni EDR e utilizza exploit zero-day su queste piattaforme”, hanno aggiunto gli esperti.
A marzo, Mandiant ha anche riferito che gli stessi criminali informatici cinesi di UNC3886 hanno utilizzato un’altra vulnerabilità zero-day (CVE-2022-41328) in una campagna simile dalla metà del 2022 per compromettere i dispositivi firewall FortiGate e distribuire backdoor Castletap e Thincrust precedentemente sconosciute.
Gli aggressori hanno utilizzato l’accesso ottenuto dopo aver violato i dispositivi Fortinet e la persistenza sui dispositivi FortiManager e FortiAnalyzer per attraversare la rete della vittima.
Secondo Mandiant, l’utilizzo da parte di UNC3886 di un’ampia gamma di nuove famiglie di malware e strumenti dannosi specificamente adattati alle piattaforme sotto attacco dimostra le capacità significative degli hacker e una chiara comprensione delle complesse tecnologie utilizzate sui dispositivi di destinazione.
RedazioneRecentemente, abbiamo discusso una vulnerabilità critica zero-day, CVE-2025-53770, presente in Microsoft SharePoint Server, che rappresenta un bypass della precedente falla di sicurezza CVE-2025-...
Sophos ha recentemente annunciato la risoluzione di cinque vulnerabilità di sicurezza indipendenti individuate nei propri firewall, alcune delle quali di gravità critica e altre di livello a...
Giovedì 16 luglio è stata una giornata significativa per i ricercatori di sicurezza informatica del team italiano Red Team Research (RTR) di TIM, che ha visto pubblicate cinque nuove vulnera...
Una falla critica nella sicurezza, relativa alla corruzione della memoria, è stata individuata nel noto software di archiviazione 7-Zip. Questa vulnerabilità può essere sfruttata da mal...
Una campagna di attacchi informatici avanzati è stata individuata che prende di mira i server Microsoft SharePoint. Questa minaccia si avvale di una serie di vulnerabilità, conosciuta come &...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
