Bylo zjištěno, že čínská státem sponzorovaná skupina známá jako UNC3886 využívá zero-day chybu v hostitelích VMware ESXi.
Chyba zabezpečení VMware Tools pro obcházení autentizace, sledovaná jako CVE-2023-20867 (CVSS skóre: 3,9), „umožnila provádění privilegovaných příkazů na hostujících virtuálních počítačích Windows, Linux a PhotonOS (vCenter) bez ověřování přihlašovacích údajů hosta z kompromitovaného hostitele ESXi a žádné výchozí protokolování na hostovaných virtuálních počítačích,“ uvedl Mandiant.
UNC3886 byl původně zdokumentován společností Google v září 2022 jako aktér kybernetické špionáže, který infikoval servery VMware ESXi a vCenter zadními vrátky nazvanými VIRTUALPITA a VIRTUALPIE.
Začátkem března byla tato skupina spojena se zneužitím nyní opravené středně závažné bezpečnostní chyby v operačním systému Fortinet FortiOS k nasazení implantátů na síťová zařízení a interakci s výše uvedeným malwarem.
Aktér byl popsán jako „vysoce zdatný“ nepřátelský kolektiv zaměřený na obranné, technologické a telekomunikační organizace v USA, Japonsku a asijsko-pacifické oblasti.
Zdroj: thehackernews.com
