พบช่องโหว่ VMware ESXi ใช้เป็นทางลับโจมตี VMs
Mandiant ซึ่งเป็นผู้ค้นพบการโจมตีดังกล่าว ยังระบุเพิ่มเติมว่า ผู้โจมตีจะได้ทำการติดตั้ง Backdoor โดยสร้าง VIBs (vSphere Installation Bundles) ขึ้นมาเอง ในขณะที่ VIBs เป็นแพคเกจที่ถูกออกแบบขึ้นมาเพื่อช่วยในการสร้างและจัดการอิมเมจของ ESXi นอกจากนี้ ยังมีการทำงานร่วมกับมัลแวร์ VirtualGate ซึ่งเปิดการเชื่อมต่อระหว่างเครื่อง Guest และโฮสต์ ทำให้สามารถเชื่อมต่อไปยังโฮสต์ต่างๆ ผ่าน Backdoor เพื่อเข้าเข้าถึงเครื่อง Guest ได้ทั้งหมด
ในอดีต กลุ่ม UNC3886 เคยใช้ช่องโหว่ 0-Day (CVE-2022-41328) ในช่วงกลางปี 2565 เพื่อทำการโจมตีไฟร์วอลล์ FortiGate และติดตั้ง Backdoor Castletap กับ Thincrust เพื่อเข้าไปสู่เครือข่ายของผู้ถูกโจมตี ทั้งนี้ กลุ่ม UNC 3386 เป็นกลุ่มสอดแนมที่ได้รับการสนับสนุนจากรัฐบาลจีน โดยมีเป้าหมายหลัก ได้แก่ องค์กรด้านความมั่นคง หน่วยงานรัฐ โทรคมนาคม และองค์กรด้านเทคโนโลยีในสหรัฐอเมริกา และภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น ซึ่งมักอาศัยช่องโหว่ 0-Day ของไฟร์วอลล์หรือ Virtualization Platforms ที่ไม่ได้รับการติดตั้งระบบ Endpoint Detection and Response (EDR)
Mandiant ยังระบุอีกว่า กลุ่ม UNC3386 เป็นกลุ่มแฮกเกอร์ที่มีมากความสามารถ และยากแก่การตรวจจับการโจมตี ซึ่งเชื่อว่ายังมีเหยื่ออีกหลายรายคนที่ยังไม่สามารถรับรู้ถึงการโจมตีดังกล่าว แม้ว่าจะมีมาตรการด้านความมั่นคงติดตั้งไว้ภายในองค์กรก็ตาม | กนิษฐา พุ่มผล และ ธีรสันต์ รัตนเรืองกุล
อ้างอิง: Bleeping Computer
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา