Mandiant报告：APT黑客利用VMware漏洞作为0day漏洞攻击长达两年

至少自 2021 年底以来，一个某国黑客组织一直在利用一个关键的 vCenter Server 漏洞 (CVE-2023-34048) 作为0day漏洞攻击。

该漏洞已于去年 10 月得到修复，VMware本周三确认（https://www.bleepingcomputer.com/news/security/vmware-confirms-critical-vcenter-flaw-now-exploited-in-attacks/）其已发现 CVE-2023-34048 的野外利用情况，但没有透露有关攻击的任何其他详细信息。

谷歌旗下的安全公司 Mandiant 透露，CVE-2023-34048漏洞被 UNC3886 网络间谍组织利用，该活动于 2023 年 6 月曝光。

网络间谍组织利用它破坏目标的 vCenter 服务器并窃取凭证，通过恶意制作的 vSphere 安装捆绑包 (VIB) 在 ESXi 主机上部署 VirtualPita 和 VirtualPie 后门。

在下一阶段，他们利用CVE-2023-20867 VMware Tools 身份验证绕过漏洞来升级权限、收集文件并将其从来宾虚拟机中窃取。

虽然到目前为止，Mandiant 并不知道攻击者如何获得对受害者 vCenter 服务器的特权访问，但在 2023 年末，VMware vmdird 服务崩溃，在后门部署前几分钟，与 CVE-2023-34048 漏洞利用紧密匹配，从而使这种联系变得明显。。

UNC3886攻击链（Mandiant）

Mandiant周五的报告（https://www.mandiant.com/resources/blog/chinese-vmware-exploitation-since-2021）中表示：“虽然 Mandiant 于 2023 年 10 月公开报告并修补了该漏洞，但 Mandiant 在 2021 年底至 2022 年初期间观察到多个 UNC3886 案例中的这些崩溃，这为攻击者访问此漏洞留下了大约一年半的时间。”

“观察到这些崩溃的大多数环境都保留了日志条目，但‘vmdird’核心转储本身已被删除。

“VMware 的默认配置会在系统上无限期地保留核心转储，这表明攻击者故意删除了核心转储，以试图掩盖其踪迹。”

UNC3886 以专注于美国和亚太及日本地区的国防、政府、电信和技术部门的组织而闻名。

APT组织最喜欢的目标是防火墙和虚拟化平台中的0day安全漏洞，这些平台不具备端点检测和响应（EDR）功能，可以更轻松地检测和阻止其攻击。

3 月份，Mandiant 透露，他们还在同一活动中滥用了 Fortinet 0day漏洞(CVE-2022-41328)，以破坏 FortiGate 防火墙设备并安装以前未知的 Castletap 和 Thincrust 后门。

Fortinet 当时表示：“这次攻击具有很强的针对性，有一些迹象表明是首选政府或与政府相关的目标。”

“该漏洞需要对 FortiOS 和底层硬件有深入的了解。定制植入表明攻击者具有高级功能，包括对 FortiOS 的各个部分进行逆向工程。”

参考链接：https://www.bleepingcomputer.com/news/security/chinese-hackers-exploit-vmware-bug-as-zero-day-for-two-years/