Siber güvenlik firması Sygnia, ağ cihazlarının yanı sıra sanallaştırma ve ağ altyapısı, özellikle VMware ESXI hipervizörleri ve venter yönetim sunucularında sıfırlanan Fire Ant olarak adlandırılan sofistike bir casusluk operasyonunu izliyor ve azaltıyor.
Ateş karınca arkasındaki tehdit aktörleri, çok katmanlı öldürme zincirleri kullanır, ileri kalıcılık mekanizmalarını segmentli ağları ihlal etmek ve aktif eradikasyon çabalarının ortasında erişimi sürdürmek için gizli tekniklerle harmanlar.
Uzun süreli casusluk kampanyası
CVE-2023-34048 gibi güvenlik açıklarından yararlanarak, vCenter’da kimliği doğrulanmamış uzaktan kod yürütme için, saldırganlar ilk dayanakları kazanır, ESXI konakçılarına yanal hareket için vpxuser kimlik bilgilerini çıkarır ve sanalpita malware çeşitleri gibi kalıcı arka planlar, kSSM ‘Binerers Portt54.
Bu araçlar, 8888 bağlantı noktasında HTTP tabanlı Python Backroors’u başlatan /etc/rc.local.d/local.sh komut dosyalarına zorla kabul seviyeleri ve değişiklikler ile yüklü imzasız VIB’ler aracılığıyla yeniden başlatma yoluyla devam eden uzaktan komut yürütme ve dosya işlemleri sağlar.
Fire Ant’in operatörleri, VMSYSLOGD işlemini sonlandırarak, denetim parkurlarını kopararak ve adli analizi karmaşıklaştırarak ESXI günlüğüne kurcalama.
Hypervisor kontrolünden, VMware araçlarında CVE-2023-20867 kullanarak konuk VM’lere dönerler, PowerCli’nin vmtoolsd.exe’yi kimlik doğrulaması olmadan yönlendiren, kodlanmış PowerShell yürütme ve çıktı yönlendirmesine izin veren vmtoolscript cmdlet ile enjekte ederler: \ windows \ temp.
Kimlik bilgisi hasadı, VIM-CMD VMSVC/Snapshot ile bellek anlık görüntüleri oluşturmayı içerir.
Ek taktikler, SentinelOne gibi EDR ajanlarına kurcalamak için updatelog.exe’nin dağıtılması, 58899 bağlantı noktasında şifreli tünelleme için v2ray yükleme ve /bin /vmx -x aracılığıyla Rogue VM’leri başlatma, standart ranges dışında sözlü venter kaydını atlama.
Ağ manipülasyonu
Fire Ant, CVE-2022-1388 üzerinden F5 yük dengeleyicileri gibi ağ cihazlarından uzlaşarak,/usr/local/www/xui/common/css/dağıtarak, köprü segmentli ağlar için/usr/www/xui/common/css/css/css/css/css/uygulama-tabakalı tüneller için neo-regororg kullanma işlemleri için Java tabanlı web sunucularından yararlanır.
Linux pivotlarında, bir Medusa rootkit varyantı, Remote.txt dosyalarına etkileşimli kabuklar ve SSH kimlik bilgisi günlüğü sağlar.
Saldırganlar, güvenilir uç noktalarda netsh portproxy kullanan ACL’leri atlar, kamu arayüzleri aracılığıyla varlıkları ortaya çıkarır ve IPv6’yı ikili yığın kurulumlarda IPv4 filtrelerinden kaçınmak için kullanır.
Dikkat çekici operasyonel esneklik gösteren Fire Ant, gerçek zamanlı olarak sınırlamaya uyum sağlar, araç setlerini döndürür, adli araçları taklit etmek için ikili dosyaları yeniden adlandırır ve temizleme sonrası gereksiz yollarla yeniden girer.
Belirli ikili dosyalar ve sömürü kalıpları dahil olmak üzere teknik örtüşmeler, daha önce klavye düzen hataları ve aktif saatler gibi Çince dil göstergelerine bağlı bir küme olan UNC3886 ile yakından hizalanır.
Rapora göre, Sygnia kesin atıftan kaçınırken, Fire Ant taktikleri UNC3886’nın altyapı merkezli kampanyalarını yansıtıyor ve uç nokta güvenliğinin azaldığı hipervizör katmanlarındaki güvenlik açıklarının altını çiziyor.
Bu tür tehditlere karşı koymak için kuruluşlar, Syslog yönlendirme yoluyla merkezi sunuculara ESXI görünürlüğünü artırmalı ve VMSYSLOGD sonlandırmalarını, yetkisiz VIM-CMD/ESXCLI uygulamalarını, anormal elf ikili dosyalarını, Rogue VMX -X lansmanlarını ve vmtoolsd.xe-pawwewed süreçleri izlemelidir.
Sertleştirme derhal yama yapmayı, PIM çözümleri aracılığıyla benzersiz döndürülmüş parolaları uygulamak, kilitleme modunu etkinleştirmeyi ve imzasız VIB’leri engellemek için güvenli önyükleme ve atlama sunucularına erişimi kısıtlamayı içerir.
Bu önlemler, güvenilir altyapıdaki kör noktaları ele alır, segmentasyon bypass’larını önler ve Fire Ant gibi esnek aktörleri engellemek için koordineli yokların sağlanmasını sağlar.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!