Çin destekli bir hack grubu tarafından sömürülen bir zero-day zafiyeti nedeniyle VMware ESXi için bir yama yayınlandı. UNC3886 olarak bilinen bu grup, siber güvenlik firması Mandiant tarafından keşfedildi ve CVE-2023-20867 VMware Tools kimlik doğrulama atlatma açığını kullanarak, etkilenen ESXi ana bilgisayarlarında barındırılan Windows ve Linux sanal makinelerine gizli kapılar oluşturdu. Saldırganlar, kök yetkilerine yükselerek, konuk sanal makinelerde VirtualPita ve VirtualPie adlı gizli kapı kötü amaçlı yazılımlarını yerleştirebildiler ve veri sızdırabildiler.
VMware, tamamen etkilenmiş bir ESXi ana bilgisayarının, VMware Tools’ün ana bilgisayar ve konuk işlemleri arasında kimlik doğrulama yapamamasının, konuk sanal makinenin gizliliği ve bütünlüğü üzerinde etkili olabileceğini vurguladı. Saldırganlar, gizli kapı kötü amaçlı yazılımlarını kurulum yöntemi olarak özel olarak hazırlanan vSphere Installation Bundles (VIB’ler) kullanarak dağıttı. VIB’ler, ESXi görüntüleri oluşturma ve bakım işlemlerine yardım
cı olmak için tasarlanmış paketlerdir.
Mandiant’in yürüttüğü soruşturma ayrıca, bellek tabanlı bir dropper olarak hareket eden VirtualGate adında üçüncü bir kötü amaçlı yazılım türünün de tespit edildiğini ortaya koydu. Bu kötü amaçlı yazılım, etkilenen sanal makinelerde ikinci aşama DLL yüklerini deşifre etti. Konuk ve ana bilgisayar arasındaki benzersiz iletişim kanalı sayesinde kalıcılık sağlandı ve saldırgan, gizli kapının dağıtıldığı bir ESXi ana bilgisayarına ve herhangi bir konuk makineye ilk erişim sağlandığı sürece tekrar erişim elde edebildi.
UNC3886’nın Endpoint Detection and Response (EDR) çözümleri bulunmayan cihazları ve platformları hedefleme geçmişine, bu son saldırı ekleniyor. Daha önceki bir kampanyada, grup FortiGate güvenlik duvarı cihazlarını etkilemek ve Castletap ve Thincrust gizli kapıları dağıtmak için farklı bir zero-day (CVE-2022-41328) kullandı. Fortinet cihazlarına erişimlerini kullanarak, kurbanların ağında yan yana hareket ettiler ve sonunda VirtualPita ve VirtualPie kötü amaçlı yazılımlarını kullanarak ESXi ve vCenter makinelerine gizli kapılar yerleştirdiler.
