Эксперты Mandiant считают, что злоумышленники обладают богатыми знаниями и недюжинным опытом для работы со столь сложными технологиями.
Компания VMware выпустила обновление безопасности для устранения уязвимости в своём гипервизоре ESXi, которая активно использовалась китайской хакерской группой для взлома виртуальных машин Windows и Linux с целью кражи данных.
Как сообщают исследователи Mandiant, которые и обнаружили эти атаки, киберпреступная группа, известная под кодовым названием UNC3886, злоупотребляла уязвимостью нулевого дня CVE-2023-20867 в VMware Tools, позволяющей обойти аутентификацию между гипервизором и гостевыми виртуальными машинами. Таким образом, злоумышленники развёртывали на зараженных виртуальных машинах скрытые бэкдоры VirtualPita и VirtualPie и получали привилегии суперпользователя.
«Полностью скомпрометированный хост ESXi может привести к тому, что VMware Tools не сможет проверить подлинность операций между хостом и гостевой виртуальной машиной, что ставит под угрозу конфиденциальность и целостность гостевой виртуальной машины», — говорится в официальной рекомендации по безопасности VMware.
Атакующие устанавливали вредоносное ПО с помощью специально созданных пакетов vSphere Installation Bundles (VIBs), предназначенных для создания и поддержки образов ESXi.
Ещё один тип вредоносного ПО, VirtualGate, который Mandiant заметила в ходе расследования, действовал как дроппер, расшифровывающий DLL-файлы второго этапа заражения на захваченных виртуальных машинах.
«Этот открытый канал связи между гостевой и хостовой системами, где любая из них может выступать в роли клиента или сервера, позволяет создать новый способ сохранения доступа к поддельному хосту ESXi до тех пор, пока не будет развернут полноценный бэкдор, а злоумышленник не получит доступ к любой гостевой машине», — сообщает Mandiant.
«Это ещё раз подтверждает глубокое понимание и технические знания ESXi, vCenter и платформы виртуализации VMware со стороны хакеров UNC3886. Группировка продолжает атаковать устройства и платформы, которые традиционно не имеют EDR-решений и используют эксплойты нулевого дня на этих платформах», — добавили специалисты.
В марте Mandiant также сообщала, что те же китайские киберпреступники UNC3886 использовали другую уязвимость нулевого дня ( CVE-2022-41328 ) в похожей кампании с середины 2022 года для компрометации устройств межсетевого экрана FortiGate и развёртывания ранее неизвестных бэкдоров Castletap и Thincrust. Злоумышленники использовали доступ, полученный после взлома устройств Fortinet и сохранения постоянства на устройствах FortiManager и FortiAnalyzer, для горизонтального перемещения по сети жертв.
По мнению Mandiant, использование UNC3886 широкого спектра новых семейств вредоносного ПО и злонамеренных инструментов, специально адаптированных для атакуемых платформ, свидетельствует о значительных возможностях хакеров и чётком понимании сложных технологий, используемых на целевых устройствах.
Большой взрыв знаний каждый день в вашем телефоне