Bir Çin hack grubu, en azından 2021'in sonlarından bu yana sıfır gün olarak kritik bir vCenter sunucusu güvenlik açığı (CVE-2023-34048) kullanıyor.
Kusur, Ekim ayında yamalandı, VMware bu Çarşamba günü, saldırılarla ilgili başka ayrıntıları paylaşmamasına rağmen, CVE-2023-34048 Wild Insouring'in farkında olduğunu doğruladı.
Bununla birlikte, Güvenlik Firması Mantiant'ın bugün açıkladığı gibi, güvenlik açığı, UNC3886 Çin Siber Casusluk Grubu tarafından Haziran 2023'te açıklanan daha önce bildirilen bir kampanyanın bir parçası olarak kullanıldı.
Cyberspies, hedeflerinin vCenter sunucularını ihlal etmek için kullandı ve ESXI ana bilgisayarlarına kötü niyetli olarak hazırlanmış vSphere kurulum paketleri (VIB'ler) aracılığıyla ESXI ana bilgisayarlarına dağıtmak için kimlik bilgilerini ve tehlikeye atıldı.
Bir sonraki aşamada, ayrıcalıkları yükseltmek, dosyaları hasat etmek ve bunları konuk VM'lerden dışarı atmak için CVE-2023-20867 VMware Tools Kimlik Doğrulama Koşusu'nu kullandılar.
Şimdiye kadar Mantiant, saldırganların kurbanların venter sunucularına nasıl ayrıcalıklı erişim kazandığını bilmiyor olsa da, bağlantı, 2023'ün sonlarında bir VMware VMDird Service çarpışmasıyla, arka fırınların dağıtımından birkaç dakika önce CVE-2023-34048 sömürüsünden birkaç dakika önce belirgin hale getirildi. .
Mandiant Cuma günü yaptığı açıklamada, "Ekim 2023'te kamuya açık olarak bildirilip yamalanırken Mandiant, bu saldırganın bu güvenlik açığına erişebileceği kabaca bir buçuk yıl boyunca 2021'in sonları ile 2022'nin başları arasında bu kazalarda bu kazaları gözlemledi." Dedi. .
"Bu kazaların gözlemlendiği ortamların çoğunda kütük girişleri korunmuştu, ancak 'VMDIRD' çekirdek dökümlerinin kendileri kaldırıldı.
"VMware'in varsayılan yapılandırmaları, temel dökümleri sistemde belirsiz bir süre tutar, bu da çekirdek dökümlerin izlerini örtmek için saldırgan tarafından bilerek kaldırıldığını gösterir."
UNC3886, ABD ve APJ bölgesindeki savunma, hükümet, telekom ve teknoloji sektörlerindeki kuruluşlara odaklandığı bilinmektedir.
Çin siberlerin favori hedefleri, saldırılarını tespit etmeyi ve engellemeyi kolaylaştıracak uç nokta tespit ve yanıt (EDR) özelliklerine sahip olmayan güvenlik duvarı ve sanallaştırma platformlarında sıfır gün güvenlik kusurlarıdır.
Mart ayında Mantiant, aynı kampanyada Fortinet sıfır gününü (CVE-2022-41328) taciz etmek ve daha önce bilinmeyen Castletap ve Thincrust Backdoors'u yüklemek için aynı kampanyada kötüye kullandıklarını açıkladı.
Fortinet, "Saldırı, tercih edilen hükümet veya hükümetle ilgili hedeflerin bazı ipuçlarıyla oldukça hedefleniyor." Dedi.
"İstismar, Fortios ve altta yatan donanımın derin bir şekilde anlaşılmasını gerektirir. Özel implantlar, aktörün Fortios'un çeşitli kısımlarını tersine dönüştürme de dahil olmak üzere ileri yeteneklere sahip olduğunu göstermektedir."
VMware, şimdi saldırılarda sömürülen kritik venter kusurunu doğrular
Citrix, saldırılarda sömürülen yeni Netscaler sıfır günlerini uyarıyor
CISA, federal ajansları bir hafta içinde Citrix RCE'yi yamaya itiyor
Ivanti Connect Secure Sıfır Günleri Özel Kötü Yazılım Dağıtmak İçin Söküldü
Barracuda, Çinli hackerlar tarafından sömürülen yeni ESG sıfır gününü düzeltir
Kaynak: Bleeping Computer