El día de ayer, la empresa de soluciones de virtualización, VMware, corrigió una vulnerabilidad ZERO-DAY en VMware ESXi, la cual estaba siendo explotada por un grupo APT respaldado por China con el fin de crear puertas traseras en máquinas virtuales de Windows y Linux para robar información.
El grupo de ciberespionaje, identificado como UNC3886 por la empresa de seguridad cibernética Mandiant, que descubrió los ataques, aprovechó la falla de omisión de autenticación, rastreada como CVE-2023-20867, en VMware Tools para implementar las puertas traseras VirtualPita y VirtualPie en máquinas virtuales invitadas de hosts ESXi comprometidos.
“Un host ESXi totalmente comprometido puede obligar a VMware Tools a no autenticar las operaciones de host a invitado, lo que afecta la confidencialidad y la integridad de la máquina virtual invitada”, dijo VMware en el aviso de seguridad el día de ayer.
Los atacantes instalaron la puerta trasera utilizando los paquetes de instalación de vSphere (VIB) malintencionados, paquetes diseñados para ayudar a los administradores a crear y mantener imágenes de ESXi.
Una tercera cepa de malware (VirtualGate) que Mandiant detectó durante la investigación actuó como un cuentagotas solo de memoria que desofuscó los payloads .DLL de segunda etapa en las máquinas virtuales secuestradas.
«Este canal de comunicación abierto entre el invitado y el host, donde cualquiera de los roles puede actuar como cliente o servidor, ha permitido un nuevo medio de persistencia para recuperar el acceso en un host ESXi con puerta trasera siempre que se implemente una puerta trasera y el atacante obtenga acceso inicial a cualquier máquina invitada«, dijo Mandiant .
«Esto [..] refuerza aún más la profunda comprensión y el conocimiento técnico de UNC3886 sobre ESXi, vCenter y la plataforma de virtualización de VMware. UNC3886 continúa apuntando a dispositivos y plataformas que tradicionalmente carecen de soluciones EDR y hacen uso de exploits de día cero en esas plataformas«.
Este grupo de ciberespionaje es conocido por centrar sus ataques en organizaciones de los sectores de defensa, gobierno, telecomunicaciones y tecnología en las regiones de Estados Unidos y Asía Pacifico; Sus objetivos favoritos son las vulnerabilidades de día cero en firewalls y plataformas de virtualización que no tienen capacidades de detección y respuesta de punto final (EDR).
Un ejemplo de esto último fue un hecho ocurrido en 2022, cuando Mandiant reveló que el grupo APT UNC3886 abusaron de una vulnerabilidad de día cero (CVE-2022-41328) en la misma campaña de mediados de 2022, para comprometer los dispositivos FortiGate e implementar las puertas traseras Castletap y Thincrust.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
