Эксперты обнаружили, что спонсируемые государством хакеры под названием UNC3886 уже много лет используют уязвимость нулевого дня в устройствах VMware и Fortinet.
А отчет Mandiant утверждает, что группа использовала уязвимость для распространения вредоносного ПО, кражи учетных данных и, в конечном итоге, для кражи конфиденциальных данных.
Рассматриваемая ошибка отслеживается как CVE-2023-34048. Уровень серьезности — 9,8/10 (критический) и описывается как опечатка за пределами допустимого диапазона, которая позволяет злоумышленникам удаленно выполнять код, имеющий доступ к vCenter Server. Патч вышел в конце октября 2023 года.
Постоянные клиенты VMware
«UNC3886 имеет опыт использования уязвимостей нулевого дня для незамеченного выполнения своей миссии, и этот последний пример еще раз демонстрирует их возможности», — пояснил Мандиант в отчете. Используя CVE-2023-34048, UNC3886 смог перечислить все хосты ESXi и гостевые виртуальные машины в уязвимой системе, а затем получить для хостов учетные данные «vpxuser» в виде открытого текста. Следующим шагом была установка вредоносного ПО VIRTUALPITA и VIRTUALPIE, которое обеспечивало прямой доступ к скомпрометированным конечным точкам.
С этого момента злоумышленники использовали отдельную уязвимость CVE-2023-20867 (уровень серьезности 3.9) для выполнения произвольных команд и получения конфиденциальной информации с устройств.
VMware призывает пользователей vCenter Server немедленно применить последнее исправление.
В последний раз мы слышали о UNC3886 в сентябре 2022 года, когда исследователи обнаружили, что группа компрометировала гипервизоры VMware ESXi, чтобы получить доступ к виртуальным машинам и шпионить за компаниями на Западе. Тогда было замечено, что группа использовала установочные пакеты vSphere для установки на «голое железо» гипервизора двух вредоносных программ — тех же, что использовались в этой атаке. Кроме того, они обнаружили уникальную вредоносную программу/дроппер под названием VirtualGate.
В отличие от этой атаки, которая использовала атаку нулевого дня, в предыдущем инциденте группа использовала только доступ на уровне администратора к гипервизорам ESXi для установки своих инструментов.
Над TheHackerНовости
Больше от TechRadar Pro
