0-day уязвимость в VMware ESXi позволила китайским хакерам UNC3886 заражать виртуальные машины скрытым вредоносным ПО

Компания VMware выпустила обновление безопасности для устранения уязвимости в своём гипервизоре ESXi, которая активно использовалась китайской хакерской группой для взлома виртуальных машин Windows и Linux с целью кражи данных.

Как сообщают исследователи Mandiant, которые и обнаружили эти атаки, киберпреступная группа, известная под кодовым названием UNC3886, злоупотребляла уязвимостью нулевого дня CVE-2023-20867 в VMware Tools, позволяющей обойти аутентификацию между гипервизором и гостевыми виртуальными машинами. Таким образом, злоумышленники развёртывали на зараженных виртуальных машинах скрытые бэкдоры VirtualPita и VirtualPie и получали привилегии суперпользователя.

«Полностью скомпрометированный хост ESXi может привести к тому, что VMware Tools не сможет проверить подлинность операций между хостом и гостевой виртуальной машиной, что ставит под угрозу конфиденциальность и целостность гостевой виртуальной машины», — говорится в официальной рекомендации по безопасности VMware.

Атакующие устанавливали вредоносное ПО с помощью специально созданных пакетов vSphere Installation Bundles (VIBs), предназначенных для создания и поддержки образов ESXi.

Ещё один тип вредоносного ПО, VirtualGate, который Mandiant заметила в ходе расследования, действовал как дроппер, расшифровывающий DLL-файлы второго этапа заражения на захваченных виртуальных машинах.

«Этот открытый канал связи между гостевой и хостовой системами, где любая из них может выступать в роли клиента или сервера, позволяет создать новый способ сохранения доступа к поддельному хосту ESXi до тех пор, пока не будет развернут полноценный бэкдор, а злоумышленник не получит доступ к любой гостевой машине», — сообщает Mandiant.

«Это ещё раз подтверждает глубокое понимание и технические знания ESXi, vCenter и платформы виртуализации VMware со стороны хакеров UNC3886. Группировка продолжает атаковать устройства и платформы, которые традиционно не имеют EDR-решений и используют эксплойты нулевого дня на этих платформах», — добавили специалисты.

В марте Mandiant также сообщала, что те же китайские киберпреступники UNC3886 использовали другую уязвимость нулевого дня ( CVE-2022-41328 ) в похожей кампании с середины 2022 года для компрометации устройств межсетевого экрана FortiGate и развёртывания ранее неизвестных бэкдоров Castletap и Thincrust. Злоумышленники использовали доступ, полученный после взлома устройств Fortinet и сохранения постоянства на устройствах FortiManager и FortiAnalyzer, для горизонтального перемещения по сети жертв.

По мнению Mandiant, использование UNC3886 широкого спектра новых семейств вредоносного ПО и злонамеренных инструментов, специально адаптированных для атакуемых платформ, свидетельствует о значительных возможностях хакеров и чётком понимании сложных технологий, используемых на целевых устройствах.