Mandiant ha pubblicato una nuova ricerca su UNC3886 – attore cinese molto abile in attività di spionaggio informatico – che sfrutta una vulnerabilità zero-day negli hypervisor VMware ESXi (CVE-2023-20867).
Charles Carmakal, CTO, Mandiant Consulting, Google Cloud, illustra: “UNC3886 è uno degli attori legati alla Cina attivi nello spionaggio informatico più intelligenti che possiamo vedere oggi. Hanno una forte sicurezza operativa e sono molto difficili da rilevare negli ambienti delle vittime. Essi monitorano i blog di Mandiant che descrivono la loro tecnica e si riattrezzano rapidamente per eludere il rilevamento. Cercano di limitare la distribuzione del malware ai sistemi della vittima che non supportano le soluzioni di rilevamento e risposta agli endpoint (EDR), rendendo molto difficile per le organizzazioni rilevare le loro intrusioni. Hanno compromesso con successo organizzazioni di difesa, tecnologia e telecomunicazioni con programmi di sicurezza maturi”.
- La vulnerabilità consente all’attore delle minacce di eseguire qualsiasi comando su una VM guest dall’hypervisor, senza bisogno della password di amministratore/root della VM guest. Per fare questo l’attore della minaccia dovrà prima accedere a un hypervisor (ad esempio tramite credenziali rubate all’hypervisor);
- Dal punto di vista forense, questi processi sono generati da un file eseguibile VMware legittimo e firmato digitalmente (ad esempio, vmtoolsd.exe su VM guest Windows);
- Inoltre, Mandiant ha osservato UNC3886 approfittare dei socket VMCI. Una volta implementata una backdoor VMCI su un hypervisor è possibile riconnettersi alla backdoor direttamente da qualsiasi macchina guest in cui viene eseguita, indipendentemente dalla connettività di rete o dalle configurazioni VLAN. Una volta ottenuto l’accesso all’host ESXI con la backdoor, gli attaccanti possono eseguire qualsiasi comando o trasferire file a/da qualsiasi altra macchina ospite;
- Questa ricerca sulle minacce è molto importante perché non esistono soluzioni EDR per gli hypervisor VMware e quindi la maggior parte delle organizzazioni non va attivamente a caccia di prove di compromissione su questi sistemi.