Se descubrió que el grupo patrocinado por el estado chino conocido como UNC3886 explota una falla Zero-Day en los hosts VMware ESXi para sistemas Windows y Linux.
La vulnerabilidad de omisión de autenticación de VMware Tools, rastreada como CVE-2023-20867, «permitió la ejecución de comandos privilegiados en máquinas virtuales guests de Windows, Linux y PhotonOS (vCenter) sin autenticación de credenciales de invitado de un host ESXi comprometido y sin inicio de sesión predeterminado en máquinas virtuales», dijo Mandiant.
UNC3886 fue documentado inicialmente por la firma de inteligencia de amenazas propiedad de Google en septiembre de 2022 como un actor de espionaje cibernético que infectaba los servidores VMware ESXi y vCenter.
A principios de marzo, el grupo estuvo vinculado a la explotación de una falla de seguridad de gravedad media (ahora parcheada) en el sistema operativo Fortinet FortiOS para instalar implantes en los dispositivos de red e interactuar con el malware antes mencionado.
«El grupo tiene acceso a una amplia investigación y apoyo para comprender la tecnología subyacente de los dispositivos a los que se dirige», dijeron los investigadores de Mandiant, destacando su patrón de armar fallas en el firewall y el software de virtualización que no son compatibles con las soluciones EDR.
Defecto Zero-Day de VMware
Como parte de sus esfuerzos para explotar los sistemas ESXi, también se ha observado que el actor de amenazas recopila credenciales de los servidores vCenter y explota la vulnerabilidad de CVE-2023-20867 para ejecutar comandos y transferir archivos hacia y desde máquinas virtuales invitadas desde un host ESXi comprometido.
Un aspecto notable del oficio de UNC3886 es su uso de sockets de interfaz de comunicación de máquina virtual (VMCI) para el movimiento lateral y la persistencia continua, lo que le permite establecer un canal encubierto entre el host ESXi y sus máquinas virtuales invitadas.