VMware ออกแพตช์ช่องโหว่ ESXi ที่ถูกใช้แล้วโดยแฮ็กเกอร์จากจีน

CVE-2023-20867 เป็นช่องโหว่ที่มีคะแนนความรุนแรงไม่มากนักอ้างอิงจาก VMware Advisories แต่วิธีการนำไปใช้โดยกลุ่มแฮ็กเกอร์จีนนี้มีเรื่องราวที่ค่อนข้างน่าสนใจไม่น้อย ซึ่งผู้เชี่ยวชาญของ Mandiant เป็นผู้เปิดโปงเส้นทางที่เกิดขึ้น

UNC3886 เป็นกลุ่มแฮ็กเกอร์มือพระกาฬที่เคยแสดงฝีมือด้วยการใช้ช่องโหว่ Zero-day(CVE-2022-41328) บน Fortigate Firewall ซึ่งมีการใช้ Backdoor ที่ชื่อว่า Castletap และ Thincrust ที่ไม่ค่อยเป็นที่รู้จัก ณ เวลานั้น โดยหลังจากผ่านเข้าไปได้มีการฝังตัวอย่างแยบยลใน FortiManager และ FortiAnalyzer แล้วค่อยๆเคลื่อนไหวในเครือข่าย ต่อมายังเข้าไปติดตั้ง Backdoor ในส่วนของ ESXi และ vCenter ด้วยมัลแวร์ VirtualPita และ VirtualPie ซึ่งทั้งสองเป็นจุดร่วมในการโจมตีล่าสุดด้วย โดยความสามารถในส่วน Fortinet ได้แสดงถึงความเข้าใจระบบ FortiOS และ Hardware เป็นอย่างดีที่สามารถทำ reverse engineering ซอฟต์แวร์ FortiOS

อย่างไรก็ดีคนร้ายมีเป้าหมายระดับสูงเช่น หน่วยงานป้องกันประเทศ รัฐบาล โทรคมนาคม และเทคโนโลยีในสหรัฐฯ เอเชียแปซิฟิคและญี่ปุ่น เป้าหมายที่ชื่นชอบเป็นพิเศษคือช่องโหว่ Zero-day ใน Firewall หรือ Virtualize Platform ที่มักไม่มีส่วนของ EDR ทั้งยังมีแนวโน้มใช้มัลแวร์ใหม่ๆ

ในส่วนของภาพการทำงานของ Mandiant จะเห็นได้ว่าคนร้ายสามารถเข้าถึง vCenter ได้ก่อนตามมาด้วย vpxuser credentials ของเครื่อง ESXi Host จากนั้นก็พุ่งตรงต่อเข้าไปที่ ESXi Host เพื่อไปฝัง Backdoor VirtualPita และ VirtualPie ด้วยแพ็กเกจ vSphere Installation Bundles (VIBs) ซึ่งยามปกติคือสิ่งที่ช่วยแอดมินใช้ดูแลและจัดการ ESXi image หลังจากคนร้ายสื่อสารกับ Backdoor บน Host ได้โดยตรงขั้นตอนต่อไปก็คือการใช้ช่องโหว่ CVE-2023-20867 ช่วยรันคำสั่งที่ไม่ต้องพิสูจน์ตัวตนจาก VMware Tools ในท้ายที่ส่งผู้โจมตีก็สามารถเข้าถึงตัว Guest VM โดยระหว่างการสืบสวนของ Mandiant ยังพบมัลแวร์อีกตัวที่ชื่อ VirtualGate ซึ่งรับหน้าที่เป็น Dropper ที่ทำงานใน VM Memory อีกด้วย

Credit : Mandiant

ที่มา : https://www.bleepingcomputer.com/news/security/chinese-hackers-used-vmware-esxi-zero-day-to-backdoor-vms/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

6 เทรนด์ Cybersecurity ปี 2024 โดย Gartner

ในโลกที่ Generative AI เฟื่องฟู การเตรียมความพร้อมด้านความปลอดภัยย่อมต้องพัฒนาอย่างต่อเนื่องเพื่อรับมือความซับซ้อนที่เพิ่มมากขึ้นด้วย Gartner ได้สรุป 6 เทรนด์ด้าน Cybersecurity สำหรับปี 2024 และอนาคตอันใกล้ ติดตามอ่านกันได้ในบทความนี้

Tenable ออกโซลูชันใหม่ Tenable One for OT/IoT

IT ไม่ใช่ช่องทางเดียวที่จะถูกโจมตีได้ แต่ยังมีธุรกิจอีกจำนวนมากที่ต้องพึ่งพาระบบ OT และ IoT ในการปฏิบัติการ ด้วยเหตุนี้เองการรู้จักช่องโหว่ที่เป็นความเสี่ยงจึงเป็นเรื่องสำคัญไม่น้อยไปกว่าระบบ IT ล่าสุด Tenable ผู้เชี่ยวชาญด้านการบริหารจัดการช่องโหว่ได้ขยายความสามารถใหม่ให้แพลตฟอร์ม Tenable One รองรับการบริหารจัดการช่องโหว่สำหรับ …