VMware a corrigé aujourd’hui une vulnérabilité du jour zéro VMware ESXi exploitée par un groupe de piratage parrainé par la Chine pour détourner des machines virtuelles Windows et Linux et voler des données.
Le groupe de cyberespionnage, suivi sous le numéro UNC3886 par la société de cybersécurité Mandiant qui a découvert les attaques, a abusé de la faille de contournement d’authentification de VMware Tools CVE-2023-20867 pour déployer les portes dérobées VirtualPita et VirtualPie sur des machines virtuelles invitées à partir d’hôtes ESXi compromis où ils ont des privilèges élevés pour rooter .
« Un hôte ESXi entièrement compromis peut forcer VMware Tools à ne pas authentifier les opérations hôte-invité, ce qui a un impact sur la confidentialité et l’intégrité de la machine virtuelle invitée », a déclaré VMware dans l’avis de sécurité. Aujourd’hui.
Les attaquants ont installé le logiciel malveillant de porte dérobée à l’aide de vSphere Installation Bundles (VIB) conçus de manière malveillante, des packages conçus pour aider les administrateurs à créer et à gérer des images ESXi.
Une troisième souche de logiciels malveillants (VirtualGate) que Mandiant a repérée au cours de l’enquête agissait comme un dropper de mémoire uniquement qui désobscurcissait les charges utiles DLL de deuxième étape sur les machines virtuelles piratées.
« Ce canal de communication ouvert entre l’invité et l’hôte, où l’un ou l’autre rôle peut agir en tant que client ou serveur, a permis une nouvelle méthode de persistance pour retrouver l’accès sur un hôte ESXi a une porte dérobée tant qu’une porte dérobée est déployée et que l’attaquant obtient l’accès initial à n’importe quelle machine invitée », a déclaré Mandiant.
« Cela [..] renforce encore la compréhension approfondie et les connaissances techniques d’UNC3886 d’ESXi, de vCenter et de la plate-forme de virtualisation de VMware. UNC3886 continue de cibler des appareils et des plates-formes qui manquent traditionnellement de solutions EDR et utilisent des exploits zero-day sur ces plates-formes. »
En mars, Mandiant a également révélé que les pirates chinois UNC3886 avaient abusé d’une vulnérabilité zero-day (CVE-2022-41328) dans la même campagne mi-2022 pour compromettre les dispositifs de pare-feu FortiGate et déployer des portes dérobées Castletap et Thincrust jusque-là inconnues.
Ils ont utilisé l’accès obtenu après avoir piraté les appareils Fortinet et gagné en persistance sur les appareils FortiManager et FortiAnalyzer pour se déplacer latéralement à travers le réseau des victimes.
Dans l’étape suivante, ils ont détourné les machines ESXi et vCenter à l’aide des logiciels malveillants VirtualPita et VirtualPie pour s’assurer que leurs activités malveillantes ne sont pas détectées.
« L’attaque est très ciblée, avec quelques allusions à des cibles gouvernementales ou liées au gouvernement préférées », a déclaré Fortinet.
« L’exploit nécessite une compréhension approfondie de FortiOS et du matériel sous-jacent. Les implants personnalisés montrent que l’acteur a des capacités avancées, y compris la rétro-ingénierie de diverses parties de FortiOS. »
Ce groupe de cyberespionnage est connu pour concentrer ses attaques sur des organisations des secteurs de la défense, du gouvernement, des télécommunications et de la technologie aux États-Unis et dans les régions APJ.
Leurs cibles préférées sont les vulnérabilités zero-day dans les plates-formes de pare-feu et de virtualisation qui ne disposent pas de capacités de détection et de réponse aux points de terminaison (EDR).
Selon Mandiant, l’utilisation par l’UNC3886 d’un large éventail de nouvelles familles de logiciels malveillants et d’outils malveillants spécifiquement adaptés aux plates-formes qu’ils ciblent suggère des capacités de recherche substantielles et une capacité hors du commun à comprendre la technologie complexe employée par les appareils ciblés.
« Il s’agit d’une continuation de l’espionnage chinois qui dure depuis des années. Ce métier est très intelligent et difficile à détecter. Nous sommes sûrs qu’il y a d’autres victimes qui font face à cela qui ne le savent pas encore », Mandiant CTO Charles Carmakal dit Breachtrace.
« Ils ont réussi à compromettre les organisations de défense, de technologie et de télécommunications avec des programmes de sécurité matures en place. »