“Fire Ant” olarak adlandırılan sofistike bir casusluk kampanyası, VMware sanallaştırma altyapısından ödün vermede daha önce bilinmeyen yetenekleri göstermektedir.
2025’in başından beri, bu tehdit oyuncusu, geleneksel uç nokta güvenlik çözümlerinden kaçan hipervizör düzeyinde teknikler kullanarak VMware ESXI ana bilgisayarlarını, vCenter sunucularını ve ağ cihazlarını sistematik olarak hedeflemiştir.
Kampanya, daha önce tanımlanmış UNC3886 Tehdit Grubu ile güçlü teknik örtüşme sergiliyor ve örgütsel ağlara kalıcı, gizli erişim sağlamak için kritik güvenlik açıkları ve özel kötü amaçlı yazılımlar kullanıyor.
Key Takeaways
1. Fire Ant exploits critical VMware ESXi and vCenter flaws for undetected hypervisor-level access.
2. Deploys stealth backdoors and disables logging to maintain persistent control.
3. Tunnels via compromised infrastructure to bypass network segmentation and reach isolated assets.
Gelişmiş VMware Altyapı Sömürü Teknikleri
Sygnia, Fire Ant’in ilk saldırı vektörünün, vCenter Server’ın DCERPC protokolü uygulamasında, kimlik doğrulanmamış uzaktan kod yürütülmesini sağlayan sınır dışı bir yazma güvenlik açığı olan CVE-2023-34048’den yararlandığını bildirdi.
Güvenlik araştırmacıları, vCenter sunucularındaki ‘VMDIRD’ sürecinin şüpheli çökmelerini tespit ettiler ve bu kritik kırılganlığın kullanıldığını gösterdi.
Başarılı uzlaşmanın ardından, tehdit aktörleri, kimlik doğrulama çerezlerini oluşturmak ve giriş mekanizmalarını atlamak için açık kaynak komut dosyası vCenter_generatelogincookie.py dahil olmak üzere sofistike araçlar dağıtıyor.
Saldırganlar sistematik olarak vpxuser kimlik bilgilerini hasat eder – vCenter tarafından ESXI ana bilgisayarlarına göre tam idari ayrıcalıklarla otomatik olarak oluşturulan sistem hesapları.
VPXUSER hesapları kilitleme modu kısıtlamalarından muaf kaldığından, bu kimlik bilgisi hırsızlığı tüm sanallaştırma altyapısında yanal hareket sağlar.
Tehdit aktörleri ayrıca, PowerCli’nin Invoke-VMScript CMDLET’i aracılığıyla kimlik doğrulanmamış ana bilgisayardan guest komut yürütmesine izin veren bir VMware Tools güvenlik açığı olan CVE-2023-20867’den de yararlanır.
Kalıcılık yetenekleri ve kaçınma yöntemleri
Fire Ant, birden fazla arka kapı dağıtım teknikleri aracılığıyla olağanüstü kalıcılık yeteneklerini gösterir.
Grup, ‘ortak’ olarak ayarlanan kabul seviyelerine sahip kötü amaçlı vSphere kurulum demetleri (VIB’ler) yükler ve imza doğrulamasını atlamak için –Force bayrağı kullanılarak dağıtılır.
Bu yetkisiz VIB’ler, başlangıç yürütme için ‘/bin’ klasöründe ikili dosyalara ve ‘/etc/rc.local.d/’ içine gömülü özel komut dosyalarına başvuran yapılandırma dosyaları içerir.
Buna ek olarak, saldırganlar, 8888 bağlantı noktasına bağlanan ve uzaktan komut yürütme özellikleri sağlayan Autobackup.bin adlı Python tabanlı bir HTTP arka kapı kullanır.
Bu kötü amaçlı yazılım, kalıcı yürütme için ESXI ana bilgisayarlarında ‘/etc/rc.local.d/local.sh’ değiştirir. Daha fazla tespitten kaçınmak için Fire Ant, VMware’in yerel Syslog Daemon’u olan VMSYSLogd işlemini, hem yerel günlük yazımı hem de uzaktan günlük iletimini etkili bir şekilde devre dışı bırakır.
Tehdit aktörleri, CVE-2022-1388 sömürüsü yoluyla F5 yük dengeleyicilerini tehlikeye atarak, web kabuklarını dağıtarak sofistike ağ manipülasyon yeteneklerini gösterir ‘/usr/local/www/xui/common/css/css.phpAğ köprüsü için.
Dahili Java tabanlı web sunucularında Neo-Regeorg tünelleme web kabuklarını kullanırlar ve kimlik bilgisi hasat ve kalıcı erişim için Medusa rootkit’i Linux pivot noktalarına yerleştirirler.
Fire Ant, güvenilir uç noktalar aracılığıyla bağlantı noktası yönlendirme için netsh portproxy komutlarını kullanır, erişim kontrol listelerini ve güvenlik duvarı kısıtlamalarını etkili bir şekilde atlar.
Grup ayrıca, IPv4 odaklı filtreleme kurallarını atlatmak için IPv6 trafiğini kullanıyor ve çift istifli ağ ortamlarının kapsamlı bir şekilde anlaşılmasını ve organizasyonel altyapıdaki ortak güvenlik boşluklarını gösteriyor.
Kuruluşlar, kapsamlı yama, hipervizör faaliyetlerinin geliştirilmiş izlenmesi ve geleneksel uç nokta güvenlik çözümlerinin ötesine uzanan gelişmiş algılama yeteneklerinin uygulanması yoluyla VMware ortamlarını güvence altına almaya acilen öncelik vermelidir.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi