• RCS
• 2023 年 6 月 19 日
• 尚無留言

骇客组织UNC3886，入侵Windows和Linux系统
国家支持组织UNC3886被发现利用VMware ESXi主机的零时差漏洞来设置后门，入侵Windows和Linux系统。VMware Tools身份验证绕过漏洞，被追踪為CVE-2023-20867（CVSS评分：3.9）。Mandiant表示，这个漏洞「允许在Windows、Linux和PhotonOS（vCenter）客户虚拟机上执行特权命令，而无需对来自受损ESXi主机的客户凭证进行验证，也无需在客户虚拟机上设置默认记录」。UNC3886最初由Google旗下的威胁情报公司于2022年9月记录下来，他们是一个进行网络间谍活动的角色，通过名为VIRTUALPITA和VIRTUALPIE的后门感染VMware ESXi和vCenter服务器。

发现骇客的时点及骇客攻击目标
今年三月早些时候，UNC3886组织被发现利用Fortinet FortiOS操作系统中的一个现已修补的中度安全漏洞，在网络设备上部署植入程序并与上述恶意软件进行互动。这个威胁行为者被描述为一个”非常熟练”的对手集团，主要针对美国、日本和亚太地区的国防、科技和电信组织进行攻击。

攻击不支援EDR防火墙和虚拟化软体漏洞
Mandiant研究人员表示，这个组织具有广泛的研究和支援，能够理解目标设备的底层技术，并指出他们利用不支持EDR解决方案的防火墙和虚拟化软件的漏洞进行攻击。作為利用ESXi系统的一部分，这个威胁还被观察到从vCenter服务器中收集凭证，并滥用CVE-2023-20867来执行命令，并在受损的ESXi主机和客户虚拟机之间传输文件。

UNC3886骇客的手段
UNC3886的值得注意的特点是它使用虚拟机通信接口（VMCI）套接字进行横向移动和持续存在，从而使其能够在ESXi主机和客户虚拟机之间建立一个隐蔽通道。该公司表示：「这种在客户虚拟机和主机之间建立的开放通信通道，其中任一角色都可以充当客户端或服务器，為重新获得被植入后门的ESXi主机提供了一种新的持续存在方式，只要后门被部署并且攻击者获得对任何客户虚拟机的初始访问」。

与此同时，Summoning Team的研究人员Sina Kheirkhah揭露VMware Aria Operations for Networks中的三个不同漏洞（CVE-2023-20887、CVE-2023-20888和CVE-2023-20889），可能导致远端程式码执行(RCE) 攻击。UNC3886组织依然对资安调查人员构成挑战，因為他们通过禁用和篡改日志服务，选择性地删除与其活动相关的日志事件。

参考来源 The Hacker News：

https://thehackernews.com/2023/06/chinese-hackers-exploit-vmware-zero-day.html