Blog

Mandiant ha detectado un grupo APT Chino explotando una Vulnerabilidad ZERO-DAY en VMware ESXi | CVE-2023-20867

El día de ayer, la empresa de soluciones de virtualización, VMware, corrigió una vulnerabilidad ZERO-DAY en VMware ESXi, la cual estaba siendo explotada por un grupo APT respaldado por China con el fin de crear puertas traseras en máquinas virtuales de Windows y Linux para robar información.

El grupo de ciberespionaje, identificado como UNC3886 por la empresa de seguridad cibernética Mandiant, que descubrió los ataques, aprovechó la falla de omisión de autenticación, rastreada como CVE-2023-20867, en VMware Tools para implementar las puertas traseras VirtualPita y VirtualPie en máquinas virtuales invitadas de hosts ESXi comprometidos.

Imagen: Mandiant

Un host ESXi totalmente comprometido puede obligar a VMware Tools a no autenticar las operaciones de host a invitado, lo que afecta la confidencialidad y la integridad de la máquina virtual invitada”, dijo VMware en el aviso de seguridad el día de ayer.

Los atacantes instalaron la puerta trasera utilizando los paquetes de instalación de vSphere (VIB) malintencionados, paquetes diseñados para ayudar a los administradores a crear y mantener imágenes de ESXi.

Una tercera cepa de malware (VirtualGate) que Mandiant detectó durante la investigación actuó como un cuentagotas solo de memoria que desofuscó los payloads .DLL de segunda etapa en las máquinas virtuales secuestradas.

«Este canal de comunicación abierto entre el invitado y el host, donde cualquiera de los roles puede actuar como cliente o servidor, ha permitido un nuevo medio de persistencia para recuperar el acceso en un host ESXi con puerta trasera siempre que se implemente una puerta trasera y el atacante obtenga acceso inicial a cualquier máquina invitada«, dijo Mandiant .

«Esto [..] refuerza aún más la profunda comprensión y el conocimiento técnico de UNC3886 sobre ESXi, vCenter y la plataforma de virtualización de VMware. UNC3886 continúa apuntando a dispositivos y plataformas que tradicionalmente carecen de soluciones EDR y hacen uso de exploits de día cero en esas plataformas«.

Este grupo de ciberespionaje es conocido por centrar sus ataques en organizaciones de los sectores de defensa, gobierno, telecomunicaciones y tecnología en las regiones de Estados Unidos y Asía Pacifico; Sus objetivos favoritos son las vulnerabilidades de día cero en firewalls y plataformas de virtualización que no tienen capacidades de detección y respuesta de punto final (EDR).

Un ejemplo de esto último fue un hecho ocurrido en 2022, cuando Mandiant reveló que el grupo APT UNC3886 abusaron de una vulnerabilidad de día cero (CVE-2022-41328) en la misma campaña de mediados de 2022, para comprometer los dispositivos FortiGate e implementar las puertas traseras Castletap y Thincrust.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required