Een geavanceerde cyberspionagegroep uit China die eerder in verband werd gebracht met de exploitatie van beveiligingsfouten in VMware- en Fortinet-apparaten, wordt sinds eind 2021 als zero-day in verband gebracht met het misbruik van een kritieke kwetsbaarheid in VMware vCenter Server.
“UNC3886 heeft een trackrecord in het gebruik van zero-day-kwetsbaarheden om hun missie te voltooien zonder opgemerkt te worden, en dit laatste voorbeeld demonstreert hun capaciteiten verder”, zei Mandiant, eigendom van Google, in een rapport van vrijdag.
De kwetsbaarheid in kwestie is CVE-2023-34048 (CVSS-score: 9,8), een schrijffout buiten het bereik die kan worden gebruikt door een kwaadwillende actor met netwerktoegang tot vCenter Server. Het werd op 24 oktober 2023 opgelost door het bedrijf van Broadcom.
De aanbieder van virtualisatiediensten heeft eerder deze week zijn advies bijgewerkt om te erkennen dat “exploitatie van CVE-2023-34048 in het wild heeft plaatsgevonden.”
UNC3886 kwam voor het eerst aan het licht in september 2022 toen bleek dat het voorheen onbekende beveiligingsfouten in VMware misbruikte om Windows- en Linux-systemen achter de deur te plaatsen, waarbij malwarefamilies als VIRTUALPITA en VIRTUALPIE werden ingezet.
De nieuwste bevindingen van Mandiant laten zien dat het zero-day-wapen van de natiestatelijke actor die zich op VMware richt, niets anders is dan CVE-2023-34048, waardoor het bevoorrechte toegang kan krijgen tot het vCenter-systeem en alle ESXi-hosts en hun respectievelijke gasten kan opsommen. virtuele machines die aan het systeem zijn gekoppeld.
De volgende fase van de aanval omvat het ophalen van ‘vpxuser’-referenties in leesbare tekst voor de hosts en het verbinden met deze om de VIRTUALPITA- en VIRTUALPIE-malware te installeren, waardoor de tegenstander rechtstreeks verbinding kan maken met de hosts.
Dit maakt uiteindelijk de exploitatie mogelijk van een andere VMware-fout (CVE-2023-20867, CVSS-score: 3,9), om willekeurige opdrachten uit te voeren en bestanden over te dragen van en naar gast-VM’s vanaf een gecompromitteerde ESXi-host, zoals onthuld door Mandiant in juni 2023.
Gebruikers van VMware vCenter Server wordt aangeraden om bij te werken naar de nieuwste versie om mogelijke bedreigingen te beperken.
De afgelopen jaren heeft UNC3886 ook gebruik gemaakt van CVE-2022-41328 (CVSS-score: 6,5), een path traversal-fout in Fortinet FortiOS-software, om THINCRUST- en CASTLETAP-implantaten in te zetten voor het uitvoeren van willekeurige opdrachten ontvangen van een externe server en het exfiltreren van gevoelige gegevens .
Bij deze aanvallen wordt vooral de nadruk gelegd op firewall- en virtualisatietechnologieën, omdat deze geen ondersteuning bieden voor endpoint-detectie- en responsoplossingen (EDR), zodat ze gedurende langere tijd binnen de doelomgeving kunnen blijven bestaan.
