Le groupe parrainé par l’État chinois connu sous le nom de UNC3886 a été trouvé pour exploiter une faille zero-day dans les hôtes VMware ESXi pour détourner les systèmes Windows et Linux.
La vulnérabilité de contournement d’authentification de VMware Tools, suivie comme CVE-2023-20867 (score CVSS : 3,9), « a permis l’exécution de commandes privilégiées sur les machines virtuelles invitées Windows, Linux et PhotonOS (vCenter) sans authentification des informations d’identification de l’invité à partir d’un hôte ESXi compromis et sans journalisation par défaut sur les machines virtuelles invitées », Mandiant a dit.
UNC3886 a été initialement documenté par la société de renseignement sur les menaces appartenant à Google en septembre 2022 en tant qu’acteur de cyberespionnage infectant les serveurs VMware ESXi et vCenter avec des portes dérobées nommées VIRTUALPITA et VIRTUALPIE.
Plus tôt en mars, le groupe était lié à l’exploitation d’une faille de sécurité de gravité moyenne désormais corrigée dans le système d’exploitation Fortinet FortiOS pour déployer des implants sur les appliances réseau et interagir avec les logiciels malveillants susmentionnés.
L’acteur de la menace a été décrit comme un collectif adversaire « très habile » ciblant les organisations de défense, de technologie et de télécommunications aux États-Unis, au Japon et dans la région Asie-Pacifique.
« Le groupe a accès à des recherches approfondies et à une assistance pour comprendre la technologie sous-jacente des appliances ciblées », ont déclaré les chercheurs de Mandiant, appelant à son modèle de failles de militarisation dans les logiciels de pare-feu et de virtualisation qui ne prennent pas en charge les solutions EDR.
Dans le cadre de ses efforts pour exploiter les systèmes ESXi, l’auteur de la menace a également été observé en train de récolter les informations d’identification des serveurs vCenter et d’abuser de CVE-2023-20867 pour exécuter des commandes et transférer des fichiers vers et depuis des machines virtuelles invitées à partir d’un hôte ESXi compromis.
Un aspect notable de l’artisanat de l’UNC3886 est son utilisation de l’interface de communication de la machine virtuelle (VMCI) sockets pour le mouvement latéral et la persistance continue, lui permettant ainsi d’établir un canal secret entre l’hôte ESXi et ses machines virtuelles invitées.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
« Ce canal de communication ouvert entre l’invité et l’hôte, où l’un ou l’autre des rôles peut agir en tant que client ou serveur, a permis à un nouveau moyen de persistance de retrouver l’accès sur un hôte ESXi doté d’une porte dérobée tant qu’une porte dérobée est déployée et que l’attaquant obtient un accès initial à tout machine invitée », a déclaré la société.
Le développement intervient alors que la chercheuse de l’équipe d’invocation Sina Kheirkhah divulgué trois failles différentes dans VMware Aria Operations for Networks (CVE-2023-20887, CVE-2023-20888 et CVE-2023-20889) qui pourraient entraîner l’exécution de code à distance.
« UNC3886 continue de présenter des défis aux enquêteurs en désactivant et en altérant les services de journalisation, en supprimant de manière sélective les événements de journal liés à leur activité », a-t-il ajouté. « Le nettoyage rétroactif des acteurs de la menace effectué quelques jours après les divulgations publiques passées sur leur activité indique à quel point ils sont vigilants. »