Araştırmacıların daha önce VMware ESXi ana bilgisayarlarını hedef aldığını tespit ettiği Çinli bir siber casusluk grubu, konuk sanal makinelerde (VM’ler) ayrıcalıklı komutlar yürütmek için sanallaştırma teknolojisindeki bir sıfır günlük kimlik doğrulama atlama kusurundan sessizce yararlanıyor.
Mandiant’tan araştırmacılar, bir süredir takip ettikleri ve geçen yıl rapor ettikleri Çinli bir tehdit aktörü olan UNC3886’nın devam eden soruşturmaları sırasında güvenlik açığını keşfettiler. Salı günü kusuru ele alan bir yama yayınlayan VMware’deki güvenlik açığını açıkladılar.
Kimlik Doğrulama Sıfır Gününü Atla
Sıfırıncı gün güvenlik açığı (CVE-2023-208670), konuk işletim sistemlerinin gelişmiş yönetimi için bir dizi hizmet ve modül olan VMware Araçları’nda mevcuttur.
Bu hata, saldırganlara konuk kimlik bilgilerine ihtiyaç duymadan ve gerçekleşen etkinliğin herhangi bir varsayılan günlüğe kaydedilmesine gerek kalmadan Windows, Linux ve vCenter konuk sanal makineler arasında dosya aktarmak için güvenliği ihlal edilmiş bir ESXi ana bilgisayarını kullanmanın bir yolunu sunar. VMware, kusuru orta düzeyde olarak değerlendirdi çünkü bir saldırganın bundan yararlanabilmesi için zaten bir ESXi ana bilgisayarı üzerinden root erişimine sahip olması gerekiyor.
Mandiant, UNC3886’yı CVE-2023-208670 kullanarak, araştırmacılarının son birkaç aydır çözmekte olduğu daha büyük ve gelişmiş bir saldırı zincirinin parçası olarak buldu.
Eylül 2022’de Mandiant, ESXi hipervizörlerine topluca VirtualPITA ve VirtualPIE olarak adlandırılan birden fazla arka kapı yüklemek için zehirli vSphere Kurulum Paketlerini veya VIB’leri kullanarak UNC3886’yı ortaya çıkardığını bildirdi. Arka kapılar, saldırganların hipervizöre kalıcı yönetici erişimini sürdürmesine, konuk VM’lerde yürütme için hipervizör aracılığıyla komutları yönlendirmesine ve hipervizör ile konuk makineler arasında dosya aktarımı yapmasına olanak sağladı. Kötü amaçlı yazılım paketi, UNC3886 aktörünün, hipervizörün günlük kaydı hizmetini kurcalamasına ve aynı hipervizör üzerindeki konuk VM’ler arasında keyfi komut yürütmesine de izin verdi.
Mandiant’ın o zamanki analizi, tehdit aktörünün arka kapıları konuşlandırmak için ESXi hipervizöründe yönetici düzeyinde ayrıcalıklara ihtiyaç duyduğunu gösterdi. Ancak UNC3886 aktörlerinin, ESXi ortamına girmek veya silahlı VIB’leri konuşlandırmak için herhangi bir sıfırıncı gün güvenlik açığından yararlandığına dair hiçbir kanıt bulamadı.
Tehdit Aktörünün Taktik ve Yöntemlerine İlişkin Yeni Detaylar
Güvenlik tedarikçisinin UNC3886’nın kampanyasıyla ilgili devam eden araştırması – bu hafta teknik bir raporda özetlendi – tehdit aktörünün taktikleri ve yöntemleri hakkında yeni ayrıntılar ortaya çıkardı. Örneğin, tehdit aktörünün vCenter Server cihazından bağlı ESXi hizmet hesapları için kimlik bilgilerini topladığını ve konuk sanal makinelerde ayrıcalıklı komutları yürütmek için CVE-2023-20867’den yararlandığını buldular. Mandiant’ın araştırması ayrıca UNC3886 aktörlerinin yanal hareket ve ek kalıcılık için Sanal Makine İletişim Arabirimi (VMCI) soketini kullanarak arka kapıları konuşlandırdığını (VirtualPITA ve VirtualGATE adlı başka bir isim dahil) gösterdi. Mandiant, “Bu… herhangi bir konuk VM’den güvenliği ihlal edilmiş ESXi ana bilgisayarının arka kapısına, ağ segmentasyonu veya yürürlükteki güvenlik duvarı kurallarına bakılmaksızın doğrudan yeniden bağlanmayı sağladı” dedi.
Mandiant’ın bu haftaki raporu, tehdit aktörünün bir kuruluşun vCenter sunucusuna ayrıcalıklı erişim kazanması ve bağlı tüm ESXi ana bilgisayarları için hizmet hesabı kimlik bilgilerini almasıyla başlayarak tüm saldırı zincirinin teknik ayrıntılarına giriyor. Rapor, UNC3886 aktörlerinin kimlik bilgilerini ESXi ana bilgisayarlarına bağlanmak, VIB’leri kullanarak üzerlerinde VirtualPITA ve VirtualPIE arka kapılarını dağıtmak ve ardından tahmini VM’lere dosya aktarmak için komutları yürütmek üzere CVE-2023-208670’i kullanmak için nasıl kullandığını açıklamaya devam ediyor.
Mandiant, tehdit aktörünün savunma, teknoloji ve telekomünikasyon şirketlerine ait ESXi sunucularını hedef aldığını söyledi.
“Aynı anda birçok ESXi ana bilgisayarına bağlantı sağlamak için UNC3886, her biri vCenter sunucularını hedef aldı. [of which] birden çok ESXi ana makinesini yönetin,” diyor Google Cloud’un Mandiant danışmanı Alex Marvi. “Her ESXi ana bilgisayarı, başlangıçta bir vCenter sunucusuna bağlandığında ‘vpxuser’ adlı bir hizmet hesabı oluşturur. UNC3886’nın, bağlı tüm ESXi ana bilgisayarlarına yönetici haklarıyla bağlanabilmeleri için vCenter sunucularında bu vpxuser hesabını topladığı görüldü.” konuğun kimlik bilgilerine ihtiyaç duymadan, diyor.
Daha Önce Görülmemiş Teknikler
Marvi, bağlı ESXi hizmet hesabı kimlik bilgilerinin vCenter sunucularında toplanması ve VMCI soket arka kapısının yeteneklerinin, Mandiant’ın geçmişte diğer saldırganlar tarafından kullanıldığını görmediği iki yeni teknik olduğunu söylüyor. “Bu, dağıtılan kötü amaçlı yazılım veya kullanılan komutlardan bağımsız olarak kuruluşların bu saldırı yolunu tespit etmesine ve yanıt vermesine yardımcı olacaktır.”
Mandiant, UNC3886’yı, uç nokta algılama ve yanıt teknolojilerini desteklemeyen güvenlik duvarı ve sanallaştırma teknolojilerindeki sıfır gün hatalarını hedefleme ve bunlardan yararlanma konusunda özellikle becerikli bir tehdit aktörü olarak değerlendirdi. Öncelikli hedefleri ABD ve Asya-Pasifik bölgesi ile Japonya’daki kuruluşlar olmuştur. Marvi’ye göre UNC3886, gerektiğinde saldırgan yollarını ve taktiklerini değiştirme yeteneğini gösterdi. Tehdit aktörünün yeteneklerinin ve son derece karmaşık saldırılar gerçekleştirmek için gereken kaynaklara erişiminin kanıtı olarak Fortinet cihazlarına yerleştirdiği yeni bir dizi kötü amaçlı yazılım aracına işaret ediyor.
“UNC3886, misyonunu tamamlamak için açık kaynak projelerini değiştirecek esnek ama oldukça yetenekli bir tehdit aktörü olduğunu gösterdi” diyor. “Bu grubun TTP’lerinin benzersiz olmaktan çok dinamik olduğunu, erişimi yeniden kazanmak veya erişim verilen bir ortamda devam etmek için kesin ihtiyaçlar etrafında inşa edildiğini iddia ediyorum.”