UNC3886 olarak tanımlanan Çinli siber casusluk çetesinin, konuk sanal makinelerde artırılmış ayrıcalıklar elde etmek için bir VMware ESXi sıfır gün güvenlik açığı kullandığı tespit edildi.
UNC3886, genellikle sistemleri korumak ve güncellemeleri dağıtmak, ESXi hipervizörlerine arka kapılar yüklemek ve komut yürütme, dosya işleme ve ters kabuk yeteneklerine erişim elde etmek için kullanılan kötü amaçlı vSphere Kurulum Paketlerini (VIB’ler) kullanıyor. Bu aktivite ilk olarak Eylül 2022’de bildirildi.
Grubun kötü amaçlı etkinlikleri, Windows sanal makinelerini (VM), vCenter sunucularını ve VMware ESXi ana bilgisayarlarını etkileyebilir.
UNC3886 VMware Sıfır Gün Saldırısı
Ekip ayrıca kimlik doğrulamasını atlamak ve Windows, Linux ve PhotonOS (vCenter) konuk VM’lerinde ayrıcalıklı komutlar çalıştırmak için VMware Tools’ta sıfır gün güvenlik açığı kullandı.
CVE-2023-20867 güvenlik açığından yalnızca ESXi sunucusuna kök erişimi olan bir saldırgan tarafından yararlanılabileceği için “düşük önem” derecesi verildi.
VMware, güvenlik danışma belgesinde, “Tam olarak tehlikeye atılmış bir ESXi ana bilgisayarı, VMware Tools’u ana bilgisayardan misafire işlemleri doğrulamakta başarısız olmaya zorlayarak konuk sanal makinenin gizliliğini ve bütünlüğünü etkileyebilir” dedi.
Mandiant, UNC3886’nın tüm ESXi ana makinelerini ve konuk VM’lerini numaralandırmak, tüm bağlı ESXi ana bilgisayarlarında izin verilen IP’lerin listelerini değiştirmek ve ilişkili vPostgreSQL veritabanını kullanarak güvenliği ihlal edilmiş vCenter sunucularından kimlik bilgilerini toplamak için komut dosyaları kullandığının görüldüğünü iddia ediyor.
Araştırmacılar, “Ayrıca, CVE-2023-20867 kullanımı, ESXi ana bilgisayarından komutlar yürütüldüğünde konuk VM’de bir kimlik doğrulama günlüğü olayı oluşturmuyor” dedi.
Siber güvenlik şirketi ayrıca grubun kalıcılık ve yanal hareket için VMCI soketlerini kullanan iki arka kapı (VirtualPita ve VirtualGate) kurduğunu gördü.
Kötü amaçlı yazılım, ağ bölümleme atlamasını ve açık dinleme bağlantı noktaları için güvenlik incelemelerinden kaçınmayı etkinleştirmenin yanı sıra, saldırganlara yeni bir kalıcılık derecesi sağlar (virüslü ESXi ana bilgisayarına erişim, bir VM’ye erişilerek kurtarılır).
Fortinet, “Saldırı, tercih edilen hükümet veya hükümetle ilgili hedeflere dair bazı ipuçları ile yüksek oranda hedeflendi.” Dedi.
“İstismar, FortiOS ve altında yatan donanım hakkında derin bir anlayış gerektiriyor. Özel implantlar, aktörün FortiOS’un çeşitli parçalarının tersine mühendislik de dahil olmak üzere gelişmiş yeteneklere sahip olduğunu gösteriyor.”
Mandiant’a göre, UNC3886’nın hedefledikleri platformlar için özel olarak tasarlanmış çok çeşitli yeni kötü amaçlı yazılım ailelerini ve zararlı araçları kullanması, önemli araştırma yetenekleri ve gelişmiş teknolojiyi, yani hedeflenen cihazın kullanımını kavramak için sıra dışı bir kapasite anlamına geliyor. .
ABD ve Asya-Pasifik bölgesinde savunma, teknoloji ve telekomünikasyonla ilgili kuruluşlara yönelik saldırılarda UNC3886, güvenlik duvarı ve sanallaştırma çözümlerinde sıfır gün güvenlik açıklarını kullanmasıyla ünlüdür.
İş E-postanızı Hedefleyen Gelişmiş E-posta Tehditlerini Durdurun – Yapay Zeka Destekli E-posta Güvenliğini Deneyin