VMware bugün bir VMware ESXI sıfır gün güvenlik açığı, Çin sponsorlu bir hack grubu tarafından arka kapı pencerelerine ve Linux sanal makinelerine ve verileri çaldı.
Saldırıları keşfeden siber güvenlik firması Mantiant tarafından UNC3886 olarak izlenen siber casusluk grubu-CVE-2023-2023-20867 VMware araçları kimlik doğrulama bypass'ı, sanalpita ve virtualpie backdours'u, konuk VM'lerde, konuk vms üzerinde, konuk vms'lerden oluşan esxi ana bilgisayarlarından çıkardı.
VMware bugünkü güvenlik danışmanında, "Tamamen tehlikeye atılmış bir ESXI ana bilgisayarı VMware araçlarını, konuk sanal makinesinin gizliliğini ve bütünlüğünü etkileyen ana bilgisayardan grup operasyonlarını doğrulamaya zorlayabilir." Dedi.
Saldırganlar, yöneticilerin ESXI görüntüleri oluşturmasına ve sürdürmesine yardımcı olmak için tasarlanmış paketler, kötü niyetli hazırlanmış vsphere kurulum paketleri (VIB'ler) kullanarak arka kapı kötü amaçlı yazılımları kurdu.
Mantiant'ın soruşturma sırasında tespit ettiği üçüncü bir kötü amaçlı yazılım suşu (Virtualgate), kaçırılan VM'lerde ikinci aşama DLL yüklerini bozan sadece bellekli bir damlalık olarak hareket etti.
"Her iki rolün müşteri veya sunucu olarak hareket edebileceği konuk ve ana bilgisayar arasındaki bu açık iletişim kanalı, bir arka kapı konuşlandırıldığı ve saldırgan herhangi birine ilk erişimi kazandığı sürece, backdoed bir ESXI ana bilgisayarına erişimi yeniden kazanmasını sağladı. Konuk makinesi, "dedi Mantiant.
"Bu [..] UNC3886'nın ESXI, VCenter ve VMware'in sanallaştırma platformu hakkında derin anlayış ve teknik bilgisini daha da güçlendiriyor. UNC3886, geleneksel olarak EDR çözümlerinden yoksun olan ve bu platformlardaki sıfır günlük istismarları kullanan cihazları ve platformları hedeflemeye devam ediyor."
Mart ayında Mantiant, Çin UNC386 bilgisayar korsanlarının, güvenlik duvarı cihazlarını güçlendirmek ve daha önce bilinmeyen Castletap ve Thincrust Beoors'u dağıtmak için aynı 2022 ortasında bir sıfır gün kırılganlığı (CVE-2022-41328) istismar ettiğini açıkladı.
Fortinet cihazlarını hackledikten ve kurbanların ağı boyunca yanal olarak hareket etmek için FortimAnager ve Fortianalyzer cihazlarında kalıcılık kazandıktan sonra kazanılan erişimi kullandılar.
Bir sonraki aşamada, kötü amaçlı faaliyetlerinin tespit edilmemesini sağlamak için ESXI ve VCenter makinelerini VirtualPita ve VirtualPie kötü amaçlı yazılımlarını kullanarak geri yüklediler.
Fortinet, "Saldırı, tercih edilen hükümet veya hükümetle ilgili hedeflerin bazı ipuçlarıyla oldukça hedefleniyor." Dedi.
"İstismar, Fortios ve altta yatan donanımın derin bir şekilde anlaşılmasını gerektirir. Özel implantlar, aktörün Fortios'un çeşitli kısımlarını tersine dönüştürme de dahil olmak üzere ileri yeteneklere sahip olduğunu göstermektedir."
Bu siber-ihale grubu, ABD ve APJ bölgelerindeki savunma, hükümet, telekom ve teknoloji sektörlerindeki kuruluşlara saldırılarını odaklamakla bilinir.
En sevdikleri hedefler, son nokta tespiti ve yanıt (EDR) özelliklerine sahip olmayan güvenlik duvarı ve sanallaştırma platformlarında sıfır gün güvenlik açıklarıdır.
UNC3886'nın, hedefledikleri platformlar için açıkça uyarlanmış çok çeşitli yeni kötü amaçlı yazılım aileleri ve kötü amaçlı araçlar kullanımı, Mantiant'a göre, hedeflenen aletler tarafından kullanılan karmaşık teknolojiyi anlamaya yönelik önemli araştırma yetenekleri ve olağan dışı bir yetenek önermektedir.
"Bu, yıllardır devam eden Çin casusluğunun bir devamıdır. Bu tradecraft çok zeki ve tespit edilmesi zordur. Henüz bilmeyen başka kurbanlar olduğundan eminiz," Mandiant CTO Charles Carmakal BleepingComputer'a söyledi.
Diyerek şöyle devam etti: "Olgun güvenlik programları olan savunma, teknoloji ve telekomünikasyon kuruluşlarını başarıyla tehlikeye attılar."
Beş yıllık saldırılardan sonra ortaya çıkan gizli merdoor kötü amaçlı yazılım
Çinli bilgisayar korsanları casusluk için yeni Linux kötü amaçlı yazılım varyantları kullanıyor
VMware, PWN2OWN'da kullanılan kritik sıfır gün istismar zincirini düzeltir
Clop fidye yazılımı muhtemelen 2021'den beri hareket sıfır gününü test ediyor
Asylum Ambuscade hacker'ları siber suçları casuslukla karıştırın
Kaynak: Bleeping Computer