Um grupo de hackers chinês tem explorado uma vulnerabilidade crítica no vCenter Server (CVE-2023-34048) como zero-day desde pelo menos o final de 2021.
A falha foi corrigida em outubro, com a VMware confirmando nesta quarta-feira (17) que está ciente da exploração em ambiente real da CVE-2023-34048, embora não tenha compartilhado outros detalhes sobre os ataques.
No entanto, conforme revelado hoje pela empresa de segurança Mandiant, a vulnerabilidade foi utilizada pelo grupo de espionagem cibernética chinês UNC3886 como parte de uma campanha previamente reportada, exposta em junho de 2023.
Os ciberespiões a utilizaram para comprometer os servidores vCenter de seus alvos e obter credenciais para implantar backdoors VirtualPita e VirtualPie em hosts ESXi por meio de pacotes de instalação vSphere (VIBs) maliciosamente elaborados.
Na próxima etapa, eles exploraram a falha de autenticação CVE-2023-20867 do VMware Tools para escalonar privilégios, coletar arquivos e exfiltrá-los de máquinas virtuais convidadas.
Embora, até agora, a Mandiant não soubesse como os atacantes obtiveram acesso privilegiado aos servidores vCenter das vítimas, o elo ficou evidente no final de 2023 com a ocorrência de uma falha no serviço vmdird da VMware minutos antes da implantação dos backdoors, correspondendo de perto à exploração da CVE-2023-34048.
“Apesar de ter sido relatado publicamente e corrigido em outubro de 2023, a Mandiant observou essas falhas em vários casos da UNC3886 entre o final de 2021 e o início de 2022, deixando uma janela de aproximadamente um ano e meio em que esse atacante teve acesso a essa vulnerabilidade”, disse a Mandiant na sexta-feira.
“Na maioria dos ambientes onde essas falhas foram observadas, havia entradas de log preservadas, mas os próprios dumps principais do ‘vmdird’ foram removidos.
“As configurações padrão da VMware mantêm dumps principais por tempo indeterminado no sistema, sugerindo que os dumps foram removidos intencionalmente pelo atacante na tentativa de encobrir seus rastros.”
A UNC3886 é conhecida por focar em organizações nos setores de defesa, governo, telecomunicações e tecnologia nos Estados Unidos e na região APJ.
Os alvos favoritos dos ciberespiões chineses são falhas de segurança zero-day em plataformas de firewall e virtualização que não possuem capacidades de Detecção e Resposta de Endpoint (EDR) que facilitariam a detecção e bloqueio de seus ataques.
Em março, a Mandiant revelou que eles também exploraram um zero-day da Fortinet (CVE-2022-41328) na mesma campanha para comprometer dispositivos de firewall FortiGate e instalar backdoors anteriormente desconhecidos, chamados Castletap e Thincrust.
“O ataque é altamente direcionado, com algumas pistas de alvos governamentais ou relacionados ao governo”, disse a Fortinet na época.
“O exploit requer um profundo entendimento do FortiOS e do hardware subjacente. Implantes personalizados mostram que o ator possui habilidades avançadas, incluindo a engenharia reversa de várias partes do FortiOS.”