Sanallaştırma ve ağ altyapısı, kod adlı bir tehdit oyuncusu tarafından hedef alınmıştır Yangın karınca Uzun süreli siber casusluk kampanyasının bir parçası olarak.
Bu yıl gözlemlenen etkinlik, öncelikle kuruluşların VMware ESXI ve vCenter ortamlarına ve ağ cihazlarına sızmak için tasarlandı, Sygnia bugün yayınlanan yeni bir raporda.
Siber güvenlik şirketi, “Tehdit oyuncusu, çok katmanlı saldırı yaratan sofistike ve gizli tekniklerin kombinasyonlarından yararlandı. İzole ortamlar olduğu varsayılan kısıtlı ve bölümlü ağ varlıklarına erişimi kolaylaştırmak için zincirleri öldürdü.” Dedi.
Diyerek şöyle devam etti: “Saldırgan, eradikasyon çabalarıyla faaliyet gösteren, uzlaşma altyapısına erişimi sürdürmek için gerçek zamanlı olarak eradikasyon ve sınırlama eylemlerine uyum sağlayan yüksek derecede kalıcılık ve operasyonel manevra kabiliyeti gösterdi.”
Fire Ant, en az 2022’den beri kenar cihazlarının ve sanallaştırma teknolojilerinin kalıcı hedeflemesi ile bilinen bir Çin-nexus siber casusluk grubu tarafından düzenlenen önceki kampanyalarla birlikte araç ve hedefleme örtüşmelerini paylaşmak için değerlendirilir.
Tehdit oyuncusu tarafından monte edilen saldırıların, VMware ESXI ana bilgisayarlarının ve vCenter sunucularının yerleşik kontrolünü kurduğu, konuk ortamlara dönme ve ağ cihazlarından ödün vererek ağ segmentasyonunu atlama konusunda gelişmiş yetenekler gösterdiği bulunmuştur.
Dikkate değer bir başka yön, tehdit oyuncunun sınırlama çabalarına uyum sağlayarak, farklı araçlara geçerek, kalıcılık için geri dönüşleri düşürerek ve ağ yapılandırmalarını tehlikeye atılan ağlara erişimi yeniden sağlamak için değiştirerek operasyonel esnekliği sürdürme yeteneğidir.
Fire Ant’in sanallaştırma yönetimi katmanını ihlal etmesi, VMware vCenter sunucusunda UNC3886 tarafından Broadcom tarafından ekim 2023’te yamalanmadan önce sıfır gün olarak kullanılan bilinen bir güvenlik kusuru olan CVE-2023-34048’in kullanımı ile elde edilir.
Sygnia, “VCenter’dan, ‘VPXUSER’ hizmet hesabı kimlik bilgilerini çıkardılar ve bunları bağlı ESXI ana bilgisayarlarına erişmek için kullandılar.” “Yeniden başlatmalar arasında erişimi korumak için hem ESXI ana bilgisayarlarında hem de vCenter’a birden fazla kalıcı arka kapı kullandılar. Arka kapı dosya adı, karma ve dağıtım tekniği VirtualPita Malware ailesini hizaladı.”
Ayrıca, uzaktan komut yürütme ve dosya indirme ve yükleme özelliklerini sağlayan Python tabanlı bir implant (“autobackup.bin”) de düştü. Arka planda daemon olarak çalışır.
Hipervizöre yetkisiz erişim elde ettikten sonra, saldırganların PowerCLI aracılığıyla konuk sanal makinelerle doğrudan etkileşime girmesi için VMware Tools’ta (CVE-2023-20867) başka bir kusurdan yararlandıkları ve Domin kontrolörleri de dahil olmak üzere bellek enstantane noktalarından çıkarılan kimlik bilgilerine müdahale ettikleri söyleniyor.
Tehdit Oyuncunun Tradecraft’ın diğer önemli yönlerinden bazıları aşağıdaki gibidir –
- Konuk Ağ Tüneli’ni kolaylaştırmak için V2ray çerçevesini düşürme
- Kayıtsız sanal makineleri doğrudan birden çok ESXI ana bilgisayarına dağıtmak
- Ağ segmentasyon bariyerlerini yıkmak ve çapraz segmentler kalıcılığın oluşturulması
- Varlıkları yeniden zorlaştırarak olay tepkisine ve iyileştirme çabalarına karşı koyun ve bazı durumlarda, adli araçları taklit etmek için yüklerini yeniden adlandırarak karıştırın
Saldırı zinciri nihayetinde, hipervizörden konuk işletim sistemlerine kalıcı, gizli erişimi korumak için Fire Ant için bir yol açtı. Sygnia, düşmanlığı, aksi takdirde izole edilmiş varlıklara ulaşmak için hedef ortamın ağ mimarisinin ve politikalarının “derin bir anlayışına” sahip olarak tanımladı.
Ateş karınca alışılmadık bir şekilde tespit edilmemiş kalır ve minimum saldırı ayak izi bırakır. Bu, saldırganların “VMSYSLogd” sürecini sonlandırarak, bir denetim izini etkili bir şekilde bastırarak ve adli görünürlüğü sınırlandırarak ESXI ana bilgisayarlarına oturum açma kurcalaması için atılan adımlarda kanıtlanmıştır.
Bulgular, son yıllarda, tehdit aktörleri, özellikle Çin’den gelenler tarafından ağ kenar cihazlarının sürekli ve başarılı hedeflenmesini içeren endişe verici bir eğilimin altını çiziyor.
Sygnia, “Bu kampanya, geleneksel uç nokta güvenlik araçlarının etkisiz olduğu hipervizör ve altyapı katmanında görünürlük ve tespitin öneminin altını çiziyor.” Dedi.
“Ateş karınca, ESXI ana bilgisayarları, vCenter sunucuları ve F5 yük dengeleyicileri gibi sürekli olarak hedeflenen altyapı sistemleri. Hedeflenen sistemler nadiren standart algılama ve yanıt programlarına entegre edilir. Bu varlıklar tespit ve yanıt çözümlerinden yoksundur ve sınırlı telemetri üretir, bu da onları gizli çalışma için ideal uzun süreli dayanaklar yapar.”