- Nhóm APT UNC3886 được cho là có liên quan đến Trung Quốc, đang khai thác một lỗ hổng zeroday trong VMware vCenter Server từ cuối năm 2021.

Nổi bật với khả năng khai thác các lỗ hổng bảo mật mà không bị phát hiện trong nhiều chiến dịch tấn công mạng, nhóm UNC3886 đã khai thác thành công nhiều lỗ hổng bảo mật trong thiết bị VMware và Fortinet.

Lỗ hổng CVE-2023-34048 ở mức nghiêm trọng khi có điểm CVSS: 9.8, đây là một lỗ hổng viết nằm ngoài phạm vi, cho phép đối tượng tấn công thực thi mã hóa từ xa khi có quyền truy cập mạng vCenter Server. Mặc dù lỗ hổng này đã được vá vào ngày 24 tháng 10 năm 2023 nhưng VMware đã cập nhật thông báo mới nhất để xác nhận rằng lỗ hổng CVE-2023-34048 đã bị khai thác trong môi trường thực tế.

UNC3886 lần đầu bị phát hiện vào tháng 9 năm 2022 khi đang khai thác các lỗ hổng bảo mật trong VMware để thực hiện backdoor vào hệ thống Windows và Linux nhằm triển khai nhiều họ mã độc như VIRTUALPITA và VIRTUALPIE. Sau khi khai thác thành công lỗ hổng CVE-2023-34048, đối tượng tấn công có thể đạt được quyền truy cập đặc quyền vào hệ thống vCenter, liệt kê các máy chủ ESXi và máy ảo.

Cuộc tấn công tiếp theo bao gồm việc thu thập thông tin đăng nhập "vpxuser" và cài đặt malware VIRTUALPITA và VIRTUALPIE để kết nối trực tiếp với máy chủ. Qua đó, mở đường cho việc khai thác một lỗ hổng VMware khác (CVE-2023-20867) để thực hiện lệnh tùy ý và truyền tải tệp tin.

UNC3886 không chỉ tấn công VMware mà còn khai thác lỗ hổng trong Fortinet FortiOS để triển khai phần mềm độc hại THINCRUST và CASTLETAP. Nhóm này đặc biệt chú ý đến công nghệ tường lửa và ảo hóa, hướng đến việc thực hiện các lệnh tùy ý và thu thập dữ liệu nhạy cảm. Nguyên nhân là do các công nghệ này không có hỗ trợ cho các giải pháp phát hiện và phản ứng trên điểm cuối (EDR), giúp nhóm APT duy trì sự tồn tại trong môi trường mục tiêu trong thời gian dài.

Để giảm thiểu nguy cơ tấn công mạng, các chuyên gia bảo mật khuyến nghị người dùng VMware vCenter Server cần thực hiện nâng cấp phần mềm lên phiên bản mới nhất.

PV