黑客使用 VMware ESXi 0day漏洞在虚拟机安装后门

VMware 今天修补了一个 VMware ESXi 零日漏洞，该漏洞被某国赞助的黑客组织利用来后门 Windows 和 Linux 虚拟机并窃取数据。

网络间谍组织——被发现攻击的网络安全公司 Mandiant 追踪为 UNC3886——使用 CVE-2023-20867 VMware Tools 身份验证绕过漏洞， 在来自受感染 ESXi 主机的来宾虚拟机上部署 VirtualPita 和 VirtualPie 后门，在那里他们将特权提升为 root。

“受损的 ESXi 主机可能会迫使 VMware Tools 无法验证主机到客户的操作，从而影响客户虚拟机的机密性和完整性。”VMware 在今天的安全公告中表示。

攻击者使用恶意制作的 vSphere 安装包 (VIB) 安装后门恶意软件，这些包旨在帮助管理员创建和维护 ESXi 映像。

Mandiant 在调查期间发现的第三种恶意软件变种 (VirtualGate) 充当纯内存植入程序，对被劫持虚拟机上的第二阶段 DLL 有效负载进行去混淆处理。

“来宾和主机之间的这种开放式通信通道，其中任何一个角色都可以充当客户端或服务器，只要部署了后门并且攻击者获得了对任何一个的初始访问权限，就启用了一种新的持久性方法通过来宾虚拟机获得对有后门的 ESXi 主机的访问权限。” Mandiant 说。

“这进一步加强了 UNC3886 对 ESXi、vCenter 和 VMware 虚拟化平台的深刻理解和技术知识。UNC3886 继续针对传统上缺乏 EDR 解决方案的设备和平台，并在这些平台上利用0Day漏洞攻击。”

UNC3886 VMware 0day漏洞攻击—Mandiant

3 月，Mandiant还透露，某国 UNC3886 黑客在 2022 年年中的同一活动中使用了一个0day漏洞 (CVE-2022-41328)，以破坏 FortiGate 防火墙设备并部署以前未知的 Castletap 和 Thincrust 后门。

他们利用入侵 Fortinet 设备并在 FortiManager 和 FortiAnalyzer 设备上获得持久性后获得的访问权限，在受害者网络中横向移动。

在下一阶段，他们使用 VirtualPita 和 VirtualPie 恶意软件为 ESXi 和 vCenter 机器设置后门，以确保他们的恶意活动不被发现。

Fortinet 说：“这次攻击具有很强的针对性，有一些迹象表明是首选政府或与政府相关的目标。”

“利用该漏洞需要对 FortiOS 和底层硬件有深入的了解。自定义植入表明攻击者具有高级功能，包括对 FortiOS 的各个部分进行逆向工程。”

Fortimanager 攻击流程—Mandiant

这个网络间谍组织以集中攻击美国和 APJ 地区的国防、政府、电信和技术部门的组织而闻名。他们最喜欢的目标是没有端点检测和响应 (EDR) 功能的防火墙和虚拟化平台中的0day漏洞。

根据 Mandiant 的说法，UNC3886 使用范围广泛的新恶意软件系列和专门为其目标平台量身定制的恶意工具，这表明其具有强大的研究能力以及理解目标设备所采用的复杂技术的非凡能力。

Mandiant 首席技术官查尔斯卡马卡尔 (Charles Carmakal) 表示：“这是某国间谍活动的延续，已经持续了多年。这种攻击手段非常聪明，很难被发现。我们确信还有其他受害者正在处理这个问题，但他们还不知道。”告诉 BleepingComputer。

“他们已经通过成熟的安全程序成功地入侵了国防、技术和电信组织。”