Lo zero-day di VMware è stato utilizzato da un attore cinese attivo nello spionaggio informatico

Mandiant ha pubblicato una nuova ricerca su UNC3886 – attore cinese molto abile in attività di spionaggio informatico – che sfrutta una vulnerabilità zero-day negli hypervisor VMware ESXi (CVE-2023-20867).

Charles Carmakal, CTO, Mandiant Consulting, Google Cloud, illustra: “UNC3886 è uno degli attori legati alla Cina attivi nello spionaggio informatico più intelligenti che possiamo vedere oggi. Hanno una forte sicurezza operativa e sono molto difficili da rilevare negli ambienti delle vittime. Essi monitorano i blog di Mandiant che descrivono la loro tecnica e si riattrezzano rapidamente per eludere il rilevamento. Cercano di limitare la distribuzione del malware ai sistemi della vittima che non supportano le soluzioni di rilevamento e risposta agli endpoint (EDR), rendendo molto difficile per le organizzazioni rilevare le loro intrusioni. Hanno compromesso con successo organizzazioni di difesa, tecnologia e telecomunicazioni con programmi di sicurezza maturi”.

• La vulnerabilità consente all’attore delle minacce di eseguire qualsiasi comando su una VM guest dall’hypervisor, senza bisogno della password di amministratore/root della VM guest. Per fare questo l’attore della minaccia dovrà prima accedere a un hypervisor (ad esempio tramite credenziali rubate all’hypervisor);
• Dal punto di vista forense, questi processi sono generati da un file eseguibile VMware legittimo e firmato digitalmente (ad esempio, vmtoolsd.exe su VM guest Windows);
• Inoltre, Mandiant ha osservato UNC3886 approfittare dei socket VMCI. Una volta implementata una backdoor VMCI su un hypervisor è possibile riconnettersi alla backdoor direttamente da qualsiasi macchina guest in cui viene eseguita, indipendentemente dalla connettività di rete o dalle configurazioni VLAN. Una volta ottenuto l’accesso all’host ESXI con la backdoor, gli attaccanti possono eseguire qualsiasi comando o trasferire file a/da qualsiasi altra macchina ospite;
• Questa ricerca sulle minacce è molto importante perché non esistono soluzioni EDR per gli hypervisor VMware e quindi la maggior parte delle organizzazioni non va attivamente a caccia di prove di compromissione su questi sistemi.

Contenuti correlati

• 
  Un’indagine commissionata da Getac mette in evidenza il ruolo della tecnologia rugged

   Getac Technology Corporation, tra i principali produttori di tecnologia rugged, ha annunciato i risultati del report che ha commissionato ad IDC dal titolo “Redefining Total Cost of Ownership: Rugged Technologies to Empower Industrial Operation2”, Aprile 2024. I risultati...
• 
  PNRR per il rilancio del manifatturiero

  Il PNRR contribuisce alla crescita e alla transizione digitale delle imprese del manifatturiero, che hanno usufruito degli incentivi 4.0 per realizzare importanti investimenti, altrimenti difficilmente realizzabili. Le aziende del settore si preparano ora a recepire il Piano Transizione 5.0,...
• 
  Il report Why Telecoms Matters di Vodafone

  Vodafone ha pubblicato un nuovo report dal titolo Why Telecoms Matters che dimostra come la connettività di prossima generazione e la digitalizzazione dell’industria possano svolgere un ruolo cruciale per la competitività europea. Why Telecoms Matters afferma che la competitività dovrebbe essere...
• 
  ECOI commissiona a Rohde & Schwarz l’indagine comparativa sulla qualità della rete mobile islandese con metodologia ETSI

  L’Ufficio islandese per le comunicazioni elettroniche (ECOI) ha scelto la soluzione di test delle reti mobili di Rohde & Schwarz per valutare e confrontare le prestazioni, la copertura e la capacità dei tre operatori di rete mobile...
• 
  Dal 2024 al 2026: come cambierà la cybersecurity

  Solo 12 mesi fa erano in pochi a conoscere ChatGPT, ma durante quest’anno è come se qualcuno avesse premuto un pulsante di accelerazione con un’adozione incredibile di questo nuovo servizio. L’anno di esplosione dell’intelligenza artificiale generativa (GenAI)...
• 
  Kaspersky rivela il livello di adozione della GenAI nelle aziende italiane

  Un tempo considerata una novità tecnologica, la GenAI si è trasformata in una vera e propria risorsa aziendale in grado di automatizzare ed eseguire una vasta gamma di attività. Nonostante la maggioranza degli intervistati in Italia abbia...
• 
  Ricerca: Politecnico di Milano e Irccs-Istituto Neurologico Carlo Besta alleati sulle neuroscienze

  Una nuova piattaforma di ricerca che riunisce tre laboratori che lavoreranno su progetti congiunti della Fondazione Irccs Istituto Neurologico Carlo Besta e del Politecnico di Milano per accelerare le conoscenze sulle malattie neurologiche per scoprire nuove terapie....
• 
  Tre aziende su quattro stanno incrementando investimenti nell’Intelligenza Artificiale Generativa

  L’AI Generativa (GenAI) è l’acceleratore del decennio e rappresenta un’opportunità unica e immediata per le imprese. Lo studio Dell Technologies GenAI – condotto su 500 decisori IT (ITDM) con la responsabilità di implementare la GenAI in Francia,...
• 
  WeTech’s Academy: 12 masterclass per formare i nuovi talenti

  WeTech’s Academy, il progetto di formazione semestrale finanziato e promosso dal system integrator specializzato in Information Tecnhology WeTech’s e dal partner tecnologico VMware, noto fornitore di servizi multi-cloud per accelerare l’innovazione nelle aziende, è partito con grande...
• 
  L’AI rivoluziona la sanità con un mercato da 188 miliardi di dollari entro il 2030

  Il 94% delle organizzazioni sanitarie ha dichiarato di utilizzare l’Intelligenza Artificiale o il Machine Learning, secondo i dati riportati da un sondaggio di Morgan Stanley Research; ugualmente il 40% dei dirigenti sanitari prevede un aumento degli investimenti nell’IA nei prossimi...