Huntress güvenlik araştırmacıları, VMware’in kamuya açıklanmasından önce bir yıldan fazla bir süre boyunca tespit edilmeyen sıfır gün araç setini kullanan karmaşık bir VMware ESXi istismar kampanyasını ortaya çıkardı.
Güvenliği ihlal edilmiş bir SonicWall VPN aracılığıyla başlayan Aralık 2025 saldırısı, tehdit aktörlerinin hipervizörden tam anlamıyla ödün vermek için birden fazla kritik güvenlik açığını nasıl zincirlediğini gösteriyor.
Saldırı Zinciri VPN Uzlaşmasıyla Başlıyor
Huntress Taktik Müdahale ekibi, tehdit aktörlerinin, çalınan Etki Alanı Yöneticisi kimlik bilgilerini kullanarak güvenliği ihlal edilmiş bir SonicWall VPN aracılığıyla ilk erişim elde ettiğini gözlemledi.
Saldırganlar ağa girdikten sonra RDP aracılığıyla yedek ve birincil etki alanı denetleyicilerine geçerek Gelişmiş Bağlantı Noktası Tarayıcısı ve SoftPerfect Ağ Tarayıcısı gibi keşif araçlarını dağıttı.
Saldırganlar daha sonra VMware ESXi istismar araç setini dağıtmadan önce ağ paylaşımlarını numaralandırmak için ShareFinder’ı çalıştırdı.
Araç seti dağıtımını takiben tehdit aktörleri, dahili bağlantıyı korurken güvenliği ihlal edilmiş ana bilgisayarları harici ağlardan yalıtmak için Windows güvenlik duvarı kurallarını değiştirdi.
Bu taktik, kurbanların dış güvenlik kaynaklarına erişmesini engellerken, saldırının patlama yarıçapını en üst düzeye çıkarmak için iç ağlar arasında yanal harekete izin veriyordu.
Huntress araştırmacıları, araç setinin Mart 2025 güvenlik danışma belgesi VMSA-2025-0004’te açıklanan üç VMware güvenlik açığından yararlandığını orta düzeyde bir güvenle değerlendirdi.
| CVE Kimliği | Güvenlik Açığı Başlığı | CVSS Puanı | Şiddet |
|---|---|---|---|
| CVE-2025-22226 | HGFS Sınır Dışı Okuma | 7.1 | Yüksek |
| CVE-2025-22224 | VMCI TOCTOU Güvenlik Açığı | 9.3 | Kritik |
| CVE-2025-22225 | ESXi Keyfi Yazma Güvenlik Açığı | 8.2 | Kritik |
CVE-2025-22226 (CVSS 7.1), VMX işlem belleğini sızdırmak için HGFS’de sınır dışı okumadan yararlanır. CVE-2025-22224 (CVSS 9.3), VMCI’da sınır dışı yazmayla sonuçlanan kullanım zamanı kontrol zamanı (TOCTOU) güvenlik açığından yararlanarak VMX işlemi olarak kod yürütülmesine olanak tanıyor.
CVE-2025-22225 (CVSS 8.2), ESXi’de isteğe bağlı yazma yetenekleri sağlayarak saldırganların VMX sanal alanından çekirdek düzeyine kaçmasına olanak tanır.
MAESTRO adlı yararlanma araç seti, VMware VMCI sürücülerini devre dışı bırakarak, Sürücü İmza Uygulamasını atlamak için Çekirdek Sürücü Yardımcı Programını (KDU) kullanarak ve imzasız yararlanma sürücülerini çekirdek belleğine yükleyerek tüm saldırıyı düzenler.
Araç seti çalıştırıldıktan sonra, VMware’in Sanal Soketler (VSOCK) arayüzü üzerinden iletişim kuran bir arka kapı olan VSOCKpuppet’i dağıtır ve kötü niyetli trafiği geleneksel ağ izleme araçlarına görünmez hale getirir.
Çince Dilini Geliştirme Yolları İyi Kaynaklara Sahip Tehdit Aktörüne İşaret Ediyor
Araç kitinin PDB yollarının analizi, VMware’in kamuya açıklanmasından bir yıldan fazla bir süre önce, Şubat 2024’teki gelişmeyi gösteren zaman damgalarıyla birlikte “全版本逃逸–交付” (“Tüm sürümlerden kaçış – teslimat” olarak çevrildi) adlı bir klasör de dahil olmak üzere basitleştirilmiş Çince dizeleri ortaya çıkardı.
Araç seti, 5.1’den 8.0’a kadar olan sürümleri kapsayan 155 ESXi yapısını destekliyor; bu da, iyi kaynaklara sahip bir geliştiricinin muhtemelen Çince konuşulan bir bölgede faaliyet gösterdiğini gösteriyor.
Kullanım ömrü sona eren sürümler herhangi bir düzeltme olmadan açıkta kaldığından, ESXi çalıştıran kuruluşlar derhal yama yapmalıdır.
Savunmacılar, olağandışı VSOCK süreçlerini tanımlamak için ESXi ana bilgisayarlarını “lsof -a” kullanarak izlemeli ve KDU’nun savunmasız imzalı sürücüleri yüklemesi gibi BYOD tekniklerini izlemelidir.
Uzlaşma göstergeleri (IOC’ler)
| Öğe | Tanım |
| MAESTRO verisi (exploit.exe) | 37972a232ac6d8c402ac4531430967c1fd458b74a52d6d1990688d88956791a7 |
| GetShell Eklentisi (client.exe) | 4614346fc1ff74f057d189db45aa7dc25d6e7f3d9b68c287a409a53c86dca25e |
| VSOCK kuklası | c3f8da7599468c11782c2332497b9e5013d98a1030034243dfed0cf072469c89 |
| İkili.zip | dc5b8f7c6a8a6764de3309279e3b6412c23e6af1d7a8631c65b80027444d62bb |
| MyDriver.sys | 2bc5d02774ac1778be22cace51f9e35fe7b53378f8d70143bf646b68d2c0f94c |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.