ພົບຊ່ອງໂຫວ່ VMware ESXi ໃຊ້ເປັນທາງລັບໂຈມຕີ VMs
ຊ່ອງໂຫວ່ CVE-2023-20867 (CVSS: 3.9) ເປັນຊ່ອງໂຫວ່ທີ່ຜ່ານການພິສູດຕົວຕົນຂອງ VMware ຊຶ່ງກຸ່ມ UNC3386 ນໍາໃຊ້ເພື່ອລັກຕິດຕັ້ງ Backdoor “VirtualPita ແລະ VirtualPie” ເທິງ Guest ຂອງເຄື່ອງ VM ເພື່ອຍຶດເຄື່ອງ ESXi Hypervisors ພ້ອມທັງຍົກລະດັບສິດຂຶ້ນເປັນ root, ເມື່ອສາມາດຍຶດລະບົບໄດ້ສຳເລັດຈະສົ່ງຜົນໃຫ້ເກີດຄວາມຜິດພາດໃນການດຳເນີນການລະຫວ່າງ Host ແລະ Guest ສົ່ງຜົນກະທົບທັງດ້ານການຮັກສາຄວາມລັບ (Confidentiality) ແລະ ຄວາມຖືກຕ້ອງ (Integrity).
Mandiant ຊຶ່ງເປັນຜູ້ຄົ້ນພົບການໂຈມຕີດັ່ງກ່າວ ຍັງລະບຸເພີ່ມຕື່ມວ່າ ຜູ້ໂຈມຕີຈະໄດ້ຕິດຕັ້ງ Backdoor ໂດຍສ້າງ VIBs (vSphere Installation Bundles) ຂຶ້ນມາເອງ ໃນຂະນະທີ່ VIBs ເປັນ packages ທີ່ຖືກອອກແບບຂຶ້ນມາເພື່ອຊ່ວຍໃນການສ້າງ ແລະ ຈັດການອິມເມວຂອງ ESXi. ນອກຈາກນີ້, ຍັງມີການເຮັດວຽກຮ່ວມກັບມັນແວ (Malware) VirtualGate ຊຶ່ງເປີດການເຊື່ອມຕໍ່ລະຫວ່າງເຄື່ອງ Guest ແລະ Host ເຮັດໃຫ້ສາມາດເຊື່ອມຕໍ່ໄປຫາ Host ຕ່າງໆ ຜ່ານ Backdoor ເພື່ອເຂົ້າເຖິງເຄື່ອງ Guest ໄດ້ທັງໝົດ.
ໃນອະດີດ ກຸ່ມ UNC3886 ເຄີຍໃຊ້ຊ່ອງໂຫວ່ 0-Day (CVE-2022-41328) ໃນກາງປີ 2022 ເພື່ອໂຈມຕີຟາຍວໍ (Firewall) FortiGate ແລະ ຕິດຕັ້ງ Backdoor Castletap ກັບ Thincrust ເພື່ອເຂົ້າໄປສູ່ເຄືອຂ່າຍຂອງຜູ້ຖືກໂຈມຕີ, ກ່ມ UNC 3386 ເປັນກຸ່ມສອດແນມທີ່ໄດ້ຮັບການສະໜັບສະໜູນຈາກລັດຖະບານຈີນ ໂດຍມີເປົ້າໝາຍຫຼັກ ໄດ້ແກ່ ອົງກອນດ້ານຄວາມໝັ້ນຄົງ, ໜ່ວຍງານລັດ, ໂທລະຄົມມະນາຄົມ ແລະ ອົງກອນດ້ານເຕັກໂນໂລຊີໃນ ສະຫາລັດອະເມລິກາ ແລະ ພູມິພາກອາຊີປາຊີຟິກ ແລະ ຍີ່ປຸ່ນ ຊຶ່ງມັກອາໄສຊ່ອງໂຫວ່ 0-Day ຂອງຟາຍວໍ ຫຼື Virtualization Platforms ທີ່ບໍ່ໄດ້ຮັບການຕິດຕັ້ງລະບົບ Endpoint Detection and Response (EDR).
Mandiant ຍັງລະບຸອີກວ່າກຸ່ມ UNC3386 ເປັນກຸ່ມແຮັກເກີທີ່ມີຫຼາຍຄວາມສາມາດ ແລະ ຍາກຕໍ່ການກວດຈັບການໂຈມຕີ ຊຶ່ງເຊື່ອວ່າຍັງມີເຫຍື່ອອີກຫຼາຍລາຍ ຄົົນທີ່ຍັງບໍ່ສາມາດຮັບຮູ້ເຖິງການໂຈມຕີດັ່ງກ່າວ ເຖິງວ່າຈະມີມາດຕະການດ້ານຄວາມປອດໄພຕິດຕັ້ງໄວ້ພາຍໃນອົງກອນກໍ່ຕາມ.
ເອກະສານອ້າງອີງ:
ລາຍການຮູບ
