VMware ออกแพตช์ช่องโหว่ ESXi ที่ถูกใช้แล้วโดยแฮ็กเกอร์จากจีน

CVE-2023-20867 เป็นช่องโหว่ที่มีคะแนนความรุนแรงไม่มากนักอ้างอิงจาก VMware Advisories แต่วิธีการนำไปใช้โดยกลุ่มแฮ็กเกอร์จีนนี้มีเรื่องราวที่ค่อนข้างน่าสนใจไม่น้อย ซึ่งผู้เชี่ยวชาญของ Mandiant เป็นผู้เปิดโปงเส้นทางที่เกิดขึ้น

UNC3886 เป็นกลุ่มแฮ็กเกอร์มือพระกาฬที่เคยแสดงฝีมือด้วยการใช้ช่องโหว่ Zero-day(CVE-2022-41328) บน Fortigate Firewall ซึ่งมีการใช้ Backdoor ที่ชื่อว่า Castletap และ Thincrust ที่ไม่ค่อยเป็นที่รู้จัก ณ เวลานั้น โดยหลังจากผ่านเข้าไปได้มีการฝังตัวอย่างแยบยลใน FortiManager และ FortiAnalyzer แล้วค่อยๆเคลื่อนไหวในเครือข่าย ต่อมายังเข้าไปติดตั้ง Backdoor ในส่วนของ ESXi และ vCenter ด้วยมัลแวร์ VirtualPita และ VirtualPie ซึ่งทั้งสองเป็นจุดร่วมในการโจมตีล่าสุดด้วย โดยความสามารถในส่วน Fortinet ได้แสดงถึงความเข้าใจระบบ FortiOS และ Hardware เป็นอย่างดีที่สามารถทำ reverse engineering ซอฟต์แวร์ FortiOS

อย่างไรก็ดีคนร้ายมีเป้าหมายระดับสูงเช่น หน่วยงานป้องกันประเทศ รัฐบาล โทรคมนาคม และเทคโนโลยีในสหรัฐฯ เอเชียแปซิฟิคและญี่ปุ่น เป้าหมายที่ชื่นชอบเป็นพิเศษคือช่องโหว่ Zero-day ใน Firewall หรือ Virtualize Platform ที่มักไม่มีส่วนของ EDR ทั้งยังมีแนวโน้มใช้มัลแวร์ใหม่ๆ

ในส่วนของภาพการทำงานของ Mandiant จะเห็นได้ว่าคนร้ายสามารถเข้าถึง vCenter ได้ก่อนตามมาด้วย vpxuser credentials ของเครื่อง ESXi Host จากนั้นก็พุ่งตรงต่อเข้าไปที่ ESXi Host เพื่อไปฝัง Backdoor VirtualPita และ VirtualPie ด้วยแพ็กเกจ vSphere Installation Bundles (VIBs) ซึ่งยามปกติคือสิ่งที่ช่วยแอดมินใช้ดูแลและจัดการ ESXi image หลังจากคนร้ายสื่อสารกับ Backdoor บน Host ได้โดยตรงขั้นตอนต่อไปก็คือการใช้ช่องโหว่ CVE-2023-20867 ช่วยรันคำสั่งที่ไม่ต้องพิสูจน์ตัวตนจาก VMware Tools ในท้ายที่ส่งผู้โจมตีก็สามารถเข้าถึงตัว Guest VM โดยระหว่างการสืบสวนของ Mandiant ยังพบมัลแวร์อีกตัวที่ชื่อ VirtualGate ซึ่งรับหน้าที่เป็น Dropper ที่ทำงานใน VM Memory อีกด้วย

Credit : Mandiant

ที่มา : https://www.bleepingcomputer.com/news/security/chinese-hackers-used-vmware-esxi-zero-day-to-backdoor-vms/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้