กลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ UNC3886 ถูกพบว่ากำลังใช้ช่องโหว่ zero-day ใน VMware ESXi เพื่อเข้าถึงระบบ Windows และ Linux โดย Mandiant ระบุว่า ช่องโหว่นี้สามารถ bypass การตรวจสอบของ VMware Tools Authentication ได้ และจากการตรวจสอบช่องโหว่หมายเลข CVE-2023-20867 (คะแนน CVSS : 3.9) ที่ทำให้สามารถเรียกใช้คําสั่งที่มีสิทธิ์สูงผ่าน Windows, Linux และ PhotonOS (vCenter) guest VMs โดยไม่ต้องผ่านการยืนยันตัวตนจาก ESXi และไม่มี Log เกิดขึ้นบนเครื่อง guest VMs
UNC3886 ถูกพบครั้งแรกโดยบริษัทข่าวกรองด้านภัยคุกคามของ Google ในเดือนกันยายน 2022 ว่าเป็นกลุ่มผู้โจมตีที่มุ่งเป้าไปที่ VMware ESXi และเซิร์ฟเวอร์ vCenter โดยใช้ backdoor ชื่อ VIRTUALPITA และ VIRTUALPIE ก่อนหน้านี้ในเดือนมีนาคม พบว่ากลุ่มผู้ไม่ประสงค์ดีดังกล่าวมีความเชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่ที่มีระดับความรุนแรงปานกลางในระบบปฏิบัติการของ Fortinet FortiOS เพื่อติดตั้งมัลแวร์บนเครือข่าย โดยกลุ่มดังกล่าวถูกระบุว่าเป็นกลุ่มที่มีความเชี่ยวชาญสูง และเป็นกลุ่มที่มีเป้าหมายการโจมตีไปที่องค์กรด้านเทคโนโลยี และองค์กรโทรคมนาคมในสหรัฐอเมริกา ญี่ปุ่น และภูมิภาคเอเชียแปซิฟิก
นักวิจัยของ Mandiant ระบุว่ากลุ่มดังกล่าวสามารถเข้าถึงการวิจัย และการสนับสนุนเพื่อทำความเข้าใจเทคโนโลยีพื้นฐานของอุปกรณ์ที่เป็นเป้าหมาย เนื่องจากรูปแบบของเครื่องมือที่ใช้โจมตีช่องโหว่บน firewall และ virtualization software ที่ไม่รองรับโซลูชัน EDR ข้อมูลส่วนหนึ่งของการโจมตี ESXi พบว่า มีการพยายามรวบรวมข้อมูล credential จากเซิร์ฟเวอร์ vCenter และใช้ช่องโหว่ CVE-2023-20867 เพื่อรันคําสั่ง และถ่ายโอนไฟล์จาก guest VMs บน ESXi ของเหยื่อ
จุดที่น่าสังเกตของกลุ่ม UNC3886 คือ การใช้ซ็อกเก็ต Virtual Machine Communication Interface (VMCI) สำหรับการโจมตีต่อไปยังระบบอื่น ๆ ในเครือข่าย รวมถึงความพยายามในการแฝงตัวบนระบบ ดังนั้นจึงทำให้ผู้โจมตีสามารถแอบสร้างช่องทางเชื่อมต่อระหว่างโฮสต์ ESXi และ guest VMs ได้
นักวิจัยของ Mandiant ระบุว่า ช่องทางการเชื่อมต่อระหว่าง guest และโฮสต์ จะทำหน้าที่เป็น client หรือเซิร์ฟเวอร์ ซึ่งจะช่วยให้ผู้โจมตีสามารถเข้าถึงโฮสต์ ESXi แบบ backdoor ได้ ซึ่งก็จะทำให้ผู้โจมตีได้รับสิทธิ์ และสามารถเข้าถึงเครื่อง guest ต่าง ๆ ได้
การโจมตีดังกล่าวเกิดขึ้นภายหลังจากที่ Sina Kheirkhah นักวิจัยจาก Summoning Team ได้เปิดเผยช่องโหว่ที่แตกต่างกัน 3 รายการใน VMware Aria Operations for Networks (CVE-2023-20887, CVE-2023-20888 และ CVE-2023-20889) ที่อาจส่งผลให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)
Ref : thehackernews
ไม่มีความคิดเห็น:
แสดงความคิดเห็น