Chinese hackers maken gebruik van VMware Zero-Day om Windows- en Linux-systemen van backdoors te voorzien
De Chinese staatsondersteunde groep UNC3886 maakt gebruik van een zero-day-kwetsbaarheid in VMware ESXi-hosts om backdoors te plaatsen in Windows- en Linux-systemen.
UNC3886, een door de staat gesponsorde Chinese groep, werd oorspronkelijk gedocumenteerd door het door Google beheerde bedrijf voor bedreigingsinformatie in september 2022. Ze infecteerden VMware ESXi- en vCenter-servers met backdoors genaamd VIRTUALPITA
De kwetsbaarheid in VMware Tools, bekend als CVE-2023-20867, stelde UNC3886 in staat om bevoorrechte commando's uit te voeren op Windows-, Linux- en PhotonOS (vCenter) guest VM's zonder authenticatie van gastreferenties vanaf een gecompromitteerde ESXi host en zonder standaard logging op guest VM's, aldus Mandiant.
In maart werd de groep ook gelinkt aan het uitbuiten van een inmiddels gepatchte medium-kwetsbaarheid in het Fortinet FortiOS-besturingssysteem om implantaten op netwerkapparaten te implementeren en te interageren met de eerdergenoemde malware.
UNC3886 wordt beschreven als een "zeer bedreven" vijandige collectieve eenheid die zich richt op defensie-, technologie- en telecommunicatieorganisaties in de Verenigde Staten, Japan en de Azië-Pacific regio.
Een opvallend aspect van de werkwijze van UNC3886 is het gebruik van Virtual Machine Communication Interface (VMCI) sockets voor laterale beweging en voortdurende persistentie, waardoor het een verborgen kanaal kan opzetten tussen de ESXi-host en de guest VM's.
Er zijn nog geen reacties.