Группа кибершпионов UNC3886 активно эксплуатировала критическую уязвимость в VMware vCenter Server с 2021 года. Уязвимость (CVE-2023-34048) позволяла удаленное выполнение кода. UNC3886 использовала этот zero-day для получения привилегированного доступа к системе vCenter, затем перечисления хостов ESXi и установки вредоносных программ.

Пользователям рекомендуется обновить VMware до последней версии.

UNC3886 также использовала уязвимость в Fortinet FortiOS, для развертывания имплантатов THINCRUST и CASTLETAP для выполнения произвольных команд, полученных с удаленного сервера, и извлечения конфиденциальных данных.

Атаки группы направлены на технологии брандмауэра и виртуализации, избегая обнаружения EDR-решений.

Похожие статьи:

• Нет похожих статей.