ADVERTISEMENT
一個中國駭客組織至少從 2021 年底開始,利用VMware的一個關鍵漏洞(CVE-2023-34048)進行零日攻擊,持續了至少兩年之久。
該漏洞在去年 10 月被修復,VMware 雖然確認他們知道 CVE-2023-34048 被利用,但他們沒有分享任何關於攻擊的細節。
然而,正如安全公司 Mandiant 所透露,該漏洞被中國網路間諜組織 UNC3886 用於他們先前於 2023 年 6 月曝光的活動中。
網路間諜利用此漏洞入侵目標的 vCenter 伺服器,並竊取憑證,透過惡意製作的 vSphere 安裝包 (VIB) 在 ESXi 主機上部署 VirtualPita 和 VirtualPie 後門。
接下來,他們利用 CVE-2023-20867 VMware Tools 身份驗證繞過漏洞提升權限,收集檔案,並從使用者虛擬機(VM)中將其外洩。
雖然 Mandiant 之前不知道攻擊者如何獲得受害者 vCenter 伺服器的特權存取權限,但在 2023 年底,VMware vmdird服務在部署後門前幾分鐘崩潰,與CVE-2023-34048的利用非常吻合,證實了兩者之间的联系。
Mandiant 在週五表示:「儘管該漏洞已於 2023 年 10 月公開報導並修復,Mandiant 在多個 UNC3886 案例中觀察到這些崩潰,發生在 2021 年底和 2022 年初之間,這意味著攻擊者在這一年半的時間裡都可以利用此漏洞。」
「在觀察到這些崩潰的大多數環境中,日誌條目被保存了下來,但『vmdird』核心崩潰檔案本身卻被刪除了。」
「VMware 的預設配置將核心崩潰檔案在系統上保存無限期,這表明核心崩潰檔案可能被攻擊者故意刪除,企圖掩蓋行蹤。」
UNC3886 以攻擊國防、政府、電信和科技領域的組織為主要目標,主要針對美國和亞太地區。
這些中國網路間諜最喜歡的目標是防火牆和虛擬化平台中的零時日安全漏洞,這些漏洞沒有端點檢測和回應 (EDR) 功能,使他們更容易檢測和阻止攻擊。
今年3月,Mandiant透露,他們還在同一次活動中濫用了Fortinet的一個零日漏洞(CVE-2022-41328),以侵入FortiGate防火牆設備並安裝之前未知的Castletap和Thincrust後門。
Fortinet 當時表示:「這是一次高度針對性的攻擊,有一些跡象表明它偏好政府或與政府相關的目標。」
「此漏洞利用需要對 FortiOS 和底層硬體有深入了解。客製化植入程式展示了攻擊者擁有的先進能力,包括對FortiOS的各個部分進行逆向工程。」
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!