Se ha identificado a un grupo patrocinado por el estado chino, conocido como UNC3886, explotando recientemente una falla zero-day en los anfitriones de VMware ESXi para establecer puertas traseras en los sistemas Windows y Linux.
La vulnerabilidad de evasión de autenticación en las herramientas de VMware, registrada como CVE-2023-20867 (puntuación CVSS: 3.9), «permitió la ejecución de comandos privilegiados en VMs invitadas de Windows, Linux y PhotonOS (vCenter) sin autenticación de las credenciales de invitados desde un host ESXi comprometido y sin registro predeterminado en las VMs invitadas», según informó Mandiant.
UNC3886 fue documentado inicialmente por la firma de inteligencia de amenazas de Google en septiembre de 2022 como un actor de ciberespionaje que infecta los servidores de VMware ESXi y vCenter con puertas traseras denominadas VIRTUALPITA y VIRTUALPIE.
A principios de marzo, el grupo fue vinculado a la explotación de una falla de seguridad de gravedad media ya parcheada en el sistema operativo Fortinet FortiOS para desplegar implantes en los dispositivos de red e interactuar con el malware mencionado anteriormente.
Este actor de amenazas ha sido descrito como un colectivo adversario «altamente hábil» que se dirige a organizaciones de defensa, tecnología y telecomunicaciones en Estados Unidos, Japón y la región de Asia-Pacífico.
«El grupo tiene acceso a una investigación y soporte extensos para entender la tecnología subyacente de los dispositivos que están siendo atacados», dijeron los investigadores de Mandiant, señalando su patrón de arma de vulnerabilidades en software de firewall y virtualización que no soportan soluciones EDR.
Como parte de sus esfuerzos para explotar los sistemas ESXi, se ha observado también al actor de amenazas recopilando credenciales de los servidores vCenter y abusando del CVE-2023-20867 para ejecutar comandos y transferir archivos desde y hacia las VMs invitadas desde un host ESXi comprometido.
Un aspecto notable del modus operandi de UNC3886 es su uso de los sockets de la Interfaz de Comunicación de Máquinas Virtuales (VMCI) para movimiento lateral y persistencia continua, lo que le permite establecer un canal encubierto entre el host ESXi y sus VMs invitadas.
Esta información llega cuando Sina Kheirkhah, investigador del Equipo de Invocación, reveló tres fallas diferentes en VMware Aria Operations para redes (CVE-2023-20887, CVE-2023-20888 y CVE-2023-20889) que podrían resultar en la ejecución de código remoto.
«UNC3886 sigue presentando desafíos a los investigadores al desactivar y alterar los servicios de registro, eliminando selectivamente los eventos de registro relacionados con su actividad», añadió. «La limpieza retroactiva de los actores de amenazas realizada dentro de los días siguientes a las revelaciones públicas pasadas sobre su actividad indica lo vigilantes que son».
Más información en Mandiant.