中国黑客利用VMware漏洞作为零日漏洞长达两年

至少自 2021 年底以来，一个中国黑客组织一直在利用一个关键的 vCenter Server 漏洞 (CVE-2023-34048) 作为零日漏洞。

该漏洞已于 10 月得到修复，VMware上周三确认其已发现 CVE-2023-34048 的野外利用情况，但没有透露有关攻击的任何其他详细信息。

然而，正如安全公司 Mandiant 今天透露的那样，该漏洞被 UNC3886 中国网络间谍组织利用，作为先前报道的活动的一部分，该活动于 2023 年 6 月曝光。

网络间谍利用它破坏目标的 vCenter 服务器并泄露凭证，通过恶意制作的 vSphere 安装捆绑包 (VIB) 在 ESXi 主机上部署 VirtualPita 和 VirtualPie 后门。

在下一阶段，他们利用CVE-2023-20867 VMware Tools 身份验证绕过缺陷来升级权限、收集文件并将其从来宾虚拟机中窃取。

虽然到目前为止，Mandiant 并不知道攻击者如何获得对受害者 vCenter 服务器的特权访问，但在 2023 年末，VMware vmdird 服务崩溃，在后门部署前几分钟，与 CVE-2023-34048 漏洞利用紧密匹配，从而使这种联系变得明显。。

Mandiant周五表示：“虽然 Mandiant 于 2023 年 10 月公开报告并修补了该漏洞，但 Mandiant 在 2021 年底至 2022 年初期间观察到了多个 UNC3886 案例中的这些崩溃，这为攻击者访问此漏洞留下了大约一年半的时间。” 。

“观察到这些崩溃的大多数环境都保留了日志条目，但‘vmdird’核心转储本身已被删除。

“VMware 的默认配置会在系统上无限期地保留核心转储，这表明攻击者故意删除了核心转储，以试图掩盖其踪迹。”

UNC3886 以专注于美国和亚太及日本地区的国防、政府、电信和技术部门的组织而闻名。

中国网络间谍最喜欢的目标是防火墙和虚拟化平台中的零日安全漏洞，这些平台不具备端点检测和响应（EDR）功能，可以更轻松地检测和阻止其攻击。

3 月份，Mandiant 透露，他们还在同一活动中滥用了 Fortinet 零日漏洞(CVE-2022-41328)，以破坏 FortiGate 防火墙设备并安装以前未知的 Castletap 和 Thincrust 后门。

Fortinet 当时表示：“这次攻击具有很强的针对性，有一些迹象表明是首选政府或与政府相关的目标。”

“该漏洞需要对 FortiOS 和底层硬件有深入的了解。定制植入表明攻击者具有高级功能，包括对 FortiOS 的各个部分进行逆向工程。”

原文始发于微信公众号（OSINT研习社）：中国黑客利用VMware漏洞作为零日漏洞长达两年