Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
VMware ha rilasciato un aggiornamento di sicurezza per correggere una vulnerabilità nel suo hypervisor ESXi, che è stato attivamente utilizzato da un gruppo di hacker cinese per entrare nelle macchine virtuali Windows e Linux al fine di rubare i dati.
Il gruppo di criminali informatici, nome in codice UNC3886, avrebbe sfruttato la vulnerabilità zero-day CVE-2023-20867 dei VMware Tools per aggirare l’autenticazione tra l’hypervisor e le macchine virtuali guest, secondo i ricercatori di Mandiant che hanno scoperto questi attacchi.
Pertanto, gli aggressori hanno implementato delle backdoor VirtualPita e VirtualPie nascoste su macchine virtuali infette e ottenuto privilegi di superutente.
“Un host ESXi completamente compromesso potrebbe impedire a VMware Tools di autenticare le transazioni tra l’host e la macchina virtuale guest, compromettendo la riservatezza e l’integrità della macchina virtuale guest”, afferma l’avviso di sicurezza ufficiale di VMware .
Gli aggressori hanno installato dei malware utilizzando pacchetti di installazione vSphere (VIB) appositamente predisposti progettati per creare e mantenere infette le immagini ESXi.
Un altro tipo di malware, VirtualGate, che Mandiant ha notato nel corso della sua indagine, ha agito come un dropper che ha decrittografato i file DLL della seconda fase dell’infezione sulle macchine virtuali acquisite.
“Questo canale di comunicazione aperto tra i sistemi guest e host, in cui entrambi possono agire come client o server, consente di creare un nuovo modo per mantenere l’accesso a un falso host ESXi fino a quando non viene implementata una backdoor completa e un utente malintenzionato ottiene accesso a qualsiasi macchina ospite”, ha affermato Mandiant.
“Ciò conferma ancora una volta la profonda comprensione e conoscenza tecnica di ESXi, vCenter e della piattaforma di virtualizzazione VMware da parte degli hacker UNC3886. Il gruppo continua ad attaccare dispositivi e piattaforme che tradizionalmente non dispongono di soluzioni EDR e utilizza exploit zero-day su queste piattaforme”, hanno aggiunto gli esperti.
A marzo, Mandiant ha anche riferito che gli stessi criminali informatici cinesi di UNC3886 hanno utilizzato un’altra vulnerabilità zero-day (CVE-2022-41328) in una campagna simile dalla metà del 2022 per compromettere i dispositivi firewall FortiGate e distribuire backdoor Castletap e Thincrust precedentemente sconosciute.
Gli aggressori hanno utilizzato l’accesso ottenuto dopo aver violato i dispositivi Fortinet e la persistenza sui dispositivi FortiManager e FortiAnalyzer per attraversare la rete della vittima.
Secondo Mandiant, l’utilizzo da parte di UNC3886 di un’ampia gamma di nuove famiglie di malware e strumenti dannosi specificamente adattati alle piattaforme sotto attacco dimostra le capacità significative degli hacker e una chiara comprensione delle complesse tecnologie utilizzate sui dispositivi di destinazione.
