Perusahaan keamanan siber Mandiant, memperingatkan bahwa mereka menemukan kerentanan zero-day VMware ESXi tengah dieksploitasi oleh kelompok spionase siber UNC3886 untuk mendapatkan hak akses istimewa terhadap guest virtual machine. Dalam serangan siber yang terjadi baru-baru ini, kelompok spionase tersebut mengumpulkan kredensial dari vCenter Server untuk semua host ESXi yang terhubung. Mereka juga menerapkan backdoor menggunakan soket VMCI untuk pergerakan dan persistansi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang mereka susupi. Selain itu, kelompok tersebut juga telah mengeksploitasi kerentanan zero-day pada VMware Tools untuk melewati proses otentikasi dan menjalankan perintah istimewa di akun VM guest pada sistem operasi Windows, Linux, dan PhotonOS (vCenter). UNC3886 dikenal sebagai kelompok yang mengeksploitasi kerentanan zero-day dalam solusi firewall dan virtualiasasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di Amerika Serikat dan di kawasan Asia-Pasifik.
Sumber : https://www.securityweek.com/chinese-cyberspies-caught-exploiting-vmware-esxi-zero-day/
Sumber : https://www.securityweek.com/chinese-cyberspies-caught-exploiting-vmware-esxi-zero-day/