Một nhóm gián điệp mạng tiên tiến của Trung Quốc trước đây liên quan đến việc khai thác các lỗ hổng bảo mật trong các thiết bị VMware và Fortinet có liên quan đến việc lạm dụng lỗ hổng nghiêm trọng trong VMware vCenter Server dưới dạng zero-day kể từ cuối năm 2021.
"UNC3886 có một hồ sơ theo dõi về việc sử dụng các lỗ hổng zero-day để hoàn thành nhiệm vụ của họ mà không bị phát hiện và ví dụ mới nhất này tiếp tục chứng minh khả năng của họ", Mandiant thuộc sở hữu của Google cho biết trong một báo cáo hôm thứ Sáu.
Lỗ hổng được đề cập là CVE-2023-34048 (điểm CVSS: 9.8), một bản ghi ngoài giới hạn có thể được sử dụng bởi một tác nhân độc hại có quyền truy cập mạng vào vCenter Server. Nó đã được công ty thuộc sở hữu của Broadcom sửa chữa vào ngày 24 tháng 10 năm 2023.
Nhà cung cấp dịch vụ ảo hóa, đầu tuần này, đã cập nhật lời khuyên của mình để thừa nhận rằng "việc khai thác CVE-2023-34048 đã xảy ra trong tự nhiên".
UNC3886 lần đầu tiên được đưa ra ánh sáng vào tháng 9/2022 khi bị phát hiện tận dụng các lỗ hổng bảo mật chưa từng được biết đến trước đây trong VMware để mở cửa hậu cho các hệ thống Windows và Linux, triển khai các họ phần mềm độc hại như VIRTUALPITA và VIRTUALPIE.
Những phát hiện mới nhất từ Mandiant cho thấy vũ khí zero-day được vũ khí hóa bởi chủ thể quốc gia nhắm vào VMware không ai khác chính là CVE-2023-34048, cho phép nó có quyền truy cập đặc quyền vào hệ thống vCenter và liệt kê tất cả các máy chủ ESXi và các máy ảo khách tương ứng của họ được gắn vào hệ thống.
Giai đoạn tiếp theo của cuộc tấn công liên quan đến việc truy xuất thông tin đăng nhập "vpxuser" rõ ràng cho các máy chủ và kết nối với chúng để cài đặt phần mềm độc hại VIRTUALPITA và VIRTUALPIE, do đó cho phép đối thủ kết nối trực tiếp với máy chủ.
Điều này cuối cùng mở đường cho việc khai thác một lỗ hổng VMware khác, (CVE-2023-20867, điểm CVSS: 3.9), để thực hiện các lệnh tùy ý và truyền tệp đến và đi từ các máy ảo khách từ máy chủ ESXi bị xâm nhập, theo tiết lộ của Mandiant vào tháng 6 năm 2023.
Người dùng VMware vCenter Server nên cập nhật lên phiên bản mới nhất để giảm thiểu mọi mối đe dọa tiềm ẩn.
Trong những năm gần đây, UNC3886 cũng đã tận dụng CVE-2022-41328 (điểm CVSS: 6.5), một lỗ hổng truyền qua đường dẫn trong phần mềm Fortinet FortiOS, để triển khai cấy ghép THINCRUST và CASTLETAP để thực hiện các lệnh tùy ý nhận được từ máy chủ từ xa và trích xuất dữ liệu nhạy cảm.
Các cuộc tấn công này đặc biệt chỉ ra các công nghệ tường lửa và ảo hóa do thực tế là chúng thiếu hỗ trợ cho các giải pháp phát hiện và phản hồi điểm cuối (EDR) để tồn tại trong môi trường mục tiêu trong thời gian dài.