El grupo UNC3886, respaldado por el estado chino, ha sido descubierto explotando una vulnerabilidad de dรญa cero en los hosts VMware ESXi, comprometiendo sistemas Windows y Linux. La falla de omisiรณn de autenticaciรณn en VMware Tools permitiรณ la ejecuciรณn de comandos privilegiados en mรกquinas virtuales sin autenticaciรณn de credenciales de invitado.
Mandiant, una firma de inteligencia de amenazas, ha documentado previamente a UNC3886 como un actor de espionaje cibernรฉtico. Este grupo altamente experto ha demostrado habilidades avanzadas en eludir soluciones de detecciรณn y se ha enfocado en organizaciones de defensa y tecnologรญa. Ademรกs de la explotaciรณn de la falla en VMware ESXi, UNC3886 tambiรฉn ha sido vinculado a la explotaciรณn de vulnerabilidades en el sistema operativo Fortinet FortiOS.
Hackers chinos explotan vulnerabilidad en VMware
UNC3886 ha sido identificado como un colectivo adversario altamente experto que se enfoca en organizaciones de defensa, tecnologรญa y telecomunicaciones. Han demostrado tener acceso a una amplia investigaciรณn y conocimiento tรฉcnico para comprender la tecnologรญa subyacente de los dispositivos a los que se dirigen.
Explotaciรณn de falla Zero-Day en VMware ESXi y uso de puertas traseras
UNC3886 ha utilizado una vulnerabilidad de omisiรณn de autenticaciรณn en VMware Tools para ejecutar comandos privilegiados en mรกquinas virtuales invitadas en sistemas Windows, Linux y PhotonOS.
Han sido documentados anteriormente por su uso de puertas traseras, como VIRTUALPITA y VIRTUALPIE, para infectar servidores VMware ESXi y vCenter.
UNC3886 utiliza sockets de interfaz de comunicaciรณn de mรกquina virtual (VMCI) para establecer un canal encubierto entre el host ESXi y las mรกquinas virtuales invitadas. Esto les permite realizar movimientos laterales y mantener la persistencia en los sistemas comprometidos.
Este peligroso grupo han presentado desafรญos para los investigadores al deshabilitar y manipular servicios de registro, asรญ como eliminar selectivamente eventos de registro relacionados con su actividad. Su capacidad para limpiar su rastro rรกpidamente indica su nivel de alerta y sofisticaciรณn.
En resumen, el grupo UNC3886, respaldado por el estado chino, continรบa representando una amenaza seria para organizaciones en los sectores de defensa, tecnologรญa y telecomunicaciones.
Su explotaciรณn de una falla Zero-Day en VMware ESXi ha demostrado su capacidad para comprometer sistemas Windows y Linux.
Los investigadores y la comunidad de seguridad deben permanecer vigilantes y tomar medidas para proteger sus sistemas contra este grupo altamente experto y sus tรกcticas sofisticadas.
Comentarios!
Comentarios