Çinli Bilgisayar Korsanları, VMware Sıfır Gün Kusurunu 2 Yıl Boyunca Sessizce Silahlandırdı
Daha önce VMware ve Fortinet cihazlarındaki güvenlik açıklarından yararlanılmasıyla bağlantılı gelişmiş bir Çin-nexus siber casusluk grubu, 2021'in sonlarından bu yana VMware vCenter Server'daki kritik bir güvenlik açığının sıfır gün olarak kötüye kullanılmasıyla ilişkilendirildi.
Google'ın sahibi olduğu Mandiant, Cuma günü yayınladığı bir raporda, "UNC3886, görevlerini tespit edilmeden tamamlamak için sıfır gün güvenlik açıklarını kullanma konusunda bir geçmişe sahip ve bu son örnek, yeteneklerini daha da gösteriyor" dedi.
Söz konusu güvenlik açığı CVE-2023-34048'dir (CVSS puanı: 9.8), uzaktan kod yürütmeyi gerçekleştirmek için vCenter Server'a ağ erişimi olan kötü amaçlı bir aktör tarafından kullanılabilecek sınır dışı bir yazmadır. Broadcom'a ait şirket tarafından 24 Ekim 2023'te düzeltildi.
Sanallaştırma hizmetleri sağlayıcısı, bu haftanın başlarında, "CVE-2023-34048'in kötüye kullanılmasının vahşi doğada meydana geldiğini" kabul etmek için tavsiyesini güncelledi.
UNC3886 ilk olarak Eylül 2022'de, VMware'deki önceden bilinmeyen güvenlik açıklarından yararlanarak Windows ve Linux sistemlerini arka kapı oluşturmak ve VIRTUALPITA ve VIRTUALPIE gibi kötü amaçlı yazılım ailelerini dağıtmak için kullanıldığı tespit edildiğinde ortaya çıktı.
Mandiant'ın en son bulguları, VMware'i hedef alan ulus devlet aktörü tarafından silahlandırılan sıfır gününün CVE-2023-34048'den başkası olmadığını ve vCenter sistemine ayrıcalıklı erişim elde etmesine ve sisteme bağlı tüm ESXi ana bilgisayarlarını ve ilgili konuk sanal makinelerini numaralandırmasına olanak tanıdığını gösteriyor.
Saldırının bir sonraki aşaması, ana bilgisayarlar için açık metin "vpxuser" kimlik bilgilerini almayı ve VIRTUALPITA ve VIRTUALPIE kötü amaçlı yazılımını yüklemek için bunlara bağlanmayı ve böylece düşmanın doğrudan ana bilgisayarlara bağlanmasını sağlamayı içerir.
Bu, sonuçta, Mandiant tarafından Haziran 2023'te açıklandığı gibi, güvenliği ihlal edilmiş bir ESXi ana bilgisayarından rastgele komutlar yürütmek ve konuk VM'lere dosya aktarmak için başka bir VMware kusurundan (CVE-2023-20867, CVSS puanı: 3.9) yararlanılmasını sağlar.
VMware vCenter Server kullanıcılarının olası tehditleri azaltmak için en son sürüme güncelleştirmeleri önerilir.
Son yıllarda UNC3886, uzak bir sunucudan alınan rastgele komutları yürütmek ve hassas verileri sızdırmak için THINCRUST ve CASTLETAP implantlarını dağıtmak için Fortinet FortiOS yazılımındaki bir yol geçiş kusuru olan CVE-2022-41328'den (CVSS puanı: 6.5) de yararlandı.
Bu saldırılar, hedef ortamlarda uzun süre devam etmek için uç nokta algılama ve yanıt (EDR) çözümlerini desteklememeleri nedeniyle özellikle güvenlik duvarı ve sanallaştırma teknolojilerini öne çıkarır.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı