Redazione RHC : 14 Giugno 2023 14:11
VMware ha rilasciato un aggiornamento di sicurezza per correggere una vulnerabilità nel suo hypervisor ESXi, che è stato attivamente utilizzato da un gruppo di hacker cinese per entrare nelle macchine virtuali Windows e Linux al fine di rubare i dati.
Il gruppo di criminali informatici, nome in codice UNC3886, avrebbe sfruttato la vulnerabilità zero-day CVE-2023-20867 dei VMware Tools per aggirare l’autenticazione tra l’hypervisor e le macchine virtuali guest, secondo i ricercatori di Mandiant che hanno scoperto questi attacchi.
Pertanto, gli aggressori hanno implementato delle backdoor VirtualPita e VirtualPie nascoste su macchine virtuali infette e ottenuto privilegi di superutente.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
“Un host ESXi completamente compromesso potrebbe impedire a VMware Tools di autenticare le transazioni tra l’host e la macchina virtuale guest, compromettendo la riservatezza e l’integrità della macchina virtuale guest”, afferma l’avviso di sicurezza ufficiale di VMware .
Gli aggressori hanno installato dei malware utilizzando pacchetti di installazione vSphere (VIB) appositamente predisposti progettati per creare e mantenere infette le immagini ESXi.
Un altro tipo di malware, VirtualGate, che Mandiant ha notato nel corso della sua indagine, ha agito come un dropper che ha decrittografato i file DLL della seconda fase dell’infezione sulle macchine virtuali acquisite.
“Questo canale di comunicazione aperto tra i sistemi guest e host, in cui entrambi possono agire come client o server, consente di creare un nuovo modo per mantenere l’accesso a un falso host ESXi fino a quando non viene implementata una backdoor completa e un utente malintenzionato ottiene accesso a qualsiasi macchina ospite”, ha affermato Mandiant.
“Ciò conferma ancora una volta la profonda comprensione e conoscenza tecnica di ESXi, vCenter e della piattaforma di virtualizzazione VMware da parte degli hacker UNC3886. Il gruppo continua ad attaccare dispositivi e piattaforme che tradizionalmente non dispongono di soluzioni EDR e utilizza exploit zero-day su queste piattaforme”, hanno aggiunto gli esperti.
A marzo, Mandiant ha anche riferito che gli stessi criminali informatici cinesi di UNC3886 hanno utilizzato un’altra vulnerabilità zero-day (CVE-2022-41328) in una campagna simile dalla metà del 2022 per compromettere i dispositivi firewall FortiGate e distribuire backdoor Castletap e Thincrust precedentemente sconosciute.
Gli aggressori hanno utilizzato l’accesso ottenuto dopo aver violato i dispositivi Fortinet e la persistenza sui dispositivi FortiManager e FortiAnalyzer per attraversare la rete della vittima.
Secondo Mandiant, l’utilizzo da parte di UNC3886 di un’ampia gamma di nuove famiglie di malware e strumenti dannosi specificamente adattati alle piattaforme sotto attacco dimostra le capacità significative degli hacker e una chiara comprensione delle complesse tecnologie utilizzate sui dispositivi di destinazione.
RedazioneIl 24 agosto 2025 ha segnato i 30 anni dal lancio di Windows 95, il primo sistema operativo consumer a 32 bit di Microsoft destinato al mercato di massa, che ha rivoluzionato in modo significativo il ...
All’inizio del 2025 un’organizzazione italiana si è trovata vittima di un’intrusione subdola. Nessun exploit clamoroso, nessun attacco da manuale. A spalancare la porta agli ...
Nella notte del 19 agosto l’infrastruttura informatica dell’Università Pontificia Salesiana (UPS) è stata vittima di un grave attacco informatico che ha reso temporaneamente in...
APT36, noto anche come Transparent Tribe, ha intensificato una nuova campagna di spionaggio contro organizzazioni governative e di difesa in India. Il gruppo, legato al Pakistan, è attivo almeno ...
Nasce una nuova stella all’interno dell’ecosistema di Red Hot Cyber, un progetto pianificato da tempo che oggi vede finalmente la sua realizzazione. Si tratta di un laboratorio allȁ...
