- Новое
- Добавить закладку
- #1
Киберпреступники говорящие на китайском языке, использовали скомпрометированное устройство VPN от SonicWall для доставки набора инструментов для эксплуатации уязвимости VMware ESXi, который, похоже, был разработан более чем за год до того, как уязвимости стали публично известны.
В атаках, проведенных в декабре 2025 года и проанализированных компанией Huntress, хакеры использовали сложную уязвимость в виртуальных машинах (VM), которая, вероятно, эксплуатировала три уязвимости VMware, которые были раскрыты как уязвимости нулевого дня (zero-day) в марте 2025 года.
Из трех уязвимостей только одна получила критическую степень серьезности:
Однако новый отчет от Huntress предоставляет информацию, указывающию на то, что уязвимости могли быть объединены в эксплойт, начиная с февраля 2024 года.
Исследователи нашли в путях PDB исполняемых файлов эксплойта папку с названием "2024_02_19", что предполагает, что пакет был разработан как потенциальный эксплойт для нулевой уязвимости.
Кроме того, из названия папки, можно сделать вывод, что целевой системой был ESXi 8.0 Update 3.
Huntress оценивает, что начальный доступ, вероятно, был получен через скомпрометированный VPN от SonicWall. Атакующий использовал скомпрометированную учетную запись Domain Admin для перехода через RDP к контроллерам домена, подготовки данных для эксфильтрации и запуска цепочки эксплойтов, которая выводит гостевую виртуальную машину в гипервизор ESXi.
Набор инструментов для эксплуатации включал следующие компоненты:
Возможно, этот компонент является "частью более широкого набора инструментов vmci_vm_escape с компонентом getshell".
Исследователи считают, что атакующие могут использовать модульный подход, разделяя инструменты пост-эксплуатации и эксплойты. Это позволит им использовать ту же инфраструктуру и просто переключаться на новые уязвимости.
Huntress заявила BleepingComputer, что они уверены на умеренном уровне, что набор инструментов использует три уязвимости, которые Broadcom раскрыла в марте прошлого года. Их оценка основана на поведении эксплойта, включая использование HGFS для утечки информации, VMCI для повреждения памяти и кода, который выходит в ядро.
Однако они не смогли с 100% уверенностью подтвердить, что это тот же эксплойт, о котором Broadcom сообщала в своем оригинальном сообщении о трех нулевых уязвимостях.
Что касается временной шкалы эксплуатации и наблюдений по атрибуции, Huntress сообщает, что некоторые пути сборки включают упрощенный китайский, но также есть README на английском языке, что возможно указывает на намерение продать или поделиться этим с другими киберпреступниками.
Huntress отмечает, что это сочетание, вероятно, указывает на то, что набор инструментов был разработан разработчиком, работающим в китайскоязычном регионе.
- Источник: https://www.bleepingcomputer[.]com/...ys-likely-exploited-a-year-before-disclosure/
В атаках, проведенных в декабре 2025 года и проанализированных компанией Huntress, хакеры использовали сложную уязвимость в виртуальных машинах (VM), которая, вероятно, эксплуатировала три уязвимости VMware, которые были раскрыты как уязвимости нулевого дня (zero-day) в марте 2025 года.
Из трех уязвимостей только одна получила критическую степень серьезности:
- CVE-2025-22226 (оценка 7.1): Чтение за пределами области в HGFS, что позволяет утекать память из процесса VMX.
- CVE-2025-22224 (оценка 9.3): Уязвимость TOCTOU в интерфейсе связи виртуальной машины (VMCI), приводящая к записи за пределами области, что позволяет выполнить код от имени процесса VMX.
- CVE-2025-22225 (оценка 8.2): Уязвимость произвольной записи в ESXi, что позволяет выйти из песочницы VMX в ядро.
Однако новый отчет от Huntress предоставляет информацию, указывающию на то, что уязвимости могли быть объединены в эксплойт, начиная с февраля 2024 года.
Исследователи нашли в путях PDB исполняемых файлов эксплойта папку с названием "2024_02_19", что предполагает, что пакет был разработан как потенциальный эксплойт для нулевой уязвимости.
Кроме того, из названия папки, можно сделать вывод, что целевой системой был ESXi 8.0 Update 3.
Huntress оценивает, что начальный доступ, вероятно, был получен через скомпрометированный VPN от SonicWall. Атакующий использовал скомпрометированную учетную запись Domain Admin для перехода через RDP к контроллерам домена, подготовки данных для эксфильтрации и запуска цепочки эксплойтов, которая выводит гостевую виртуальную машину в гипервизор ESXi.
Набор инструментов для эксплуатации включал следующие компоненты:
- MAESTRO (exploit.exe)
- MyDriver.sys
- VSOCKpuppet
- GetShell Plugin (client.exe)
Возможно, этот компонент является "частью более широкого набора инструментов vmci_vm_escape с компонентом getshell".
Исследователи считают, что атакующие могут использовать модульный подход, разделяя инструменты пост-эксплуатации и эксплойты. Это позволит им использовать ту же инфраструктуру и просто переключаться на новые уязвимости.
Huntress заявила BleepingComputer, что они уверены на умеренном уровне, что набор инструментов использует три уязвимости, которые Broadcom раскрыла в марте прошлого года. Их оценка основана на поведении эксплойта, включая использование HGFS для утечки информации, VMCI для повреждения памяти и кода, который выходит в ядро.
Однако они не смогли с 100% уверенностью подтвердить, что это тот же эксплойт, о котором Broadcom сообщала в своем оригинальном сообщении о трех нулевых уязвимостях.
Что касается временной шкалы эксплуатации и наблюдений по атрибуции, Huntress сообщает, что некоторые пути сборки включают упрощенный китайский, но также есть README на английском языке, что возможно указывает на намерение продать или поделиться этим с другими киберпреступниками.
Huntress отмечает, что это сочетание, вероятно, указывает на то, что набор инструментов был разработан разработчиком, работающим в китайскоязычном регионе.
- Источник: https://www.bleepingcomputer[.]com/...ys-likely-exploited-a-year-before-disclosure/