I de seneste nyheder om cybersikkerhed er en kinesisk Advanced Persistent Threat (APT) gruppe, kendt som "NC3886" blevet identificeret for at målrette forsvars-, teknologi- og telekommunikationsselskaber.

Denne meget sofistikerede trusselsgruppe har brugt forskellige taktikker, herunder en VMware zero-day sårbarhed, til at udføre deres angreb uden at efterlade spor.

Ifølge cybersikkerhedsfirmaet Mandiant har NC3886 udnyttet en nul-dages sårbarhed i VMwares ESXi hypervisorer. Denne nyligt allokerede CVE-2023-20867 giver APT-gruppen mulighed for at opnå omfattende kontrol og laterale bevægelsesmuligheder på tværs af VMware-miljøer.

Bemærkelsesværdigt nok muliggør denne udnyttelse udførelse af kommandoer og filoverførsler mellem kompromitterede ESXi-værter og virtuelle gæstemaskiner (VM'er) uden at kræve gæstelegitimationsoplysninger. Desuden genererer disse handlinger ikke nogen autentificeringsloghændelser på gæste-VM'erne.

Mandiants undersøgelse afslørede, at NC3886 har en track record i at identificere og udnytte nul-dages sårbarheder i firewall- og virtualiseringsteknologier. De har især målrettet systemer, der mangler støtte til EDR (Endpoint Detection and Response), hvilket gør deres aktiviteter sværere at opdage.

Ved siden af ​​VMware zero-day-udnyttelsen brugte APT-gruppen forskellige angriberscripts til at erhverve vpxuser-legitimationsoplysninger, opregne ESXi-værter og gæste-VM'er og manipulere ESXi-værts firewall-regler for at udtrække værdifulde data.

Et af de værktøjer, der tidligere blev brugt af NC3886, var en sårbarhed med eskalering af rettigheder kendt som CVE-2022-22948. Denne sårbarhed, opdaget af sikkerhedsforsker Yuval Lazar i 2022, påvirkede over 500.000 apparater, der brugte standard vCenter-implementeringer. Lazar fremhævede de risici, der er forbundet med at kompromittere vCenter, da det giver centraliseret adgang og potentialet for omfattende skader i virksomhedsmiljøer.

Mandiants dybdegående analyse af VMware zero-day-udnyttelsen viste APT-gruppens dybe forståelse og tekniske ekspertise inden for ESXi, vCenter og VMwares virtualiseringsplatform. Trusselsaktørerne demonstrerede deres årvågenhed ved hurtigt at rydde op i deres spor efter offentlige afsløringer om deres aktiviteter.

Mandiant understregede vigtigheden af, at organisationer ikke kun overvåger deres netværk på operativsystemlaget, men også patcher, vedligeholder og overvåger de apparater, der ligger til grund for infrastrukturen.

Som konklusion udgør den kinesiske APT-gruppe NC3886 en væsentlig trussel mod forsvars-, teknologi- og telekommunikationsselskaber. Deres udnyttelse af VMware zero-day sårbarheden sammen med andre sofistikerede angrebsteknikker fremhæver behovet for forbedrede sikkerhedsforanstaltninger, proaktiv overvågning og rettidig patching for at afbøde sådanne trusler effektivt.