В последние годы виртуализация стала неотъемлемой частью ИТ-инфраструктуры большинства организаций по всему миру. Использование продуктов VMware, таких как ESXi и vCenter, позволяет компаниям эффективно управлять виртуальными машинами и сетями. Однако именно эта популярность превращает виртуализационные платформы в лакомую цель для киберпреступников и государственно-спонсируемых группировок. Одним из наиболее опасных примеров современной угрозы является кампания Fire Ant, направленная на эксплуатацию уязвимостей в VMware ESXi и vCenter для получения долгосрочного контроля над корпоративной инфраструктурой.Fire Ant — это угроза, которая действует с высокой степенью скрытности, используя сложные многоэтапные методы атак, позволяющие обходить системные ограничения и проникать в сегментированные сети, которые, как считалось, изолированы от внешних воздействий.
Группа успешно внедряется в виртуализированные среды, демонстрируя глубокое понимание сетевой архитектуры и механизмов безопасности целей, что позволяет им манипулировать доступом и поддерживать устойчивое присутствие даже при попытках обнаружения и устранения угроз.Основной вектор атаки Fire Ant связан с эксплуатацией критической уязвимости CVE-2023-34048 в VMware vCenter Server. Эта дыра в безопасности была впервые идентифицирована и использовалась еще до официального патча, выпущенного Broadcom в октябре 2023 года. Используя эту уязвимость, преступники получают доступ к сервисной учетной записи vpxuser, которая затем служит ключом для проникновения на подключенные ESXi хосты. Такая техника открывает им дверцу ко всем виртуальным машинам, размещенным на этих серверах, что дает возможность управлять ими, изменять конфигурации и извлекать конфиденциальные данные.
Для поддержания доступа злоумышленники разворачивают набор вредоносных программ, среди которых находятся backdoor из семейства VIRTUALPITA, а также автономный имплантат на Python с именем autobackup.bin. Этот инсценировщик работает в фоновом режиме как демон и позволяет удаленно выполнять команды, а также загружать и выгружать файлы без предупреждения администраторов. Такая методика скрытого управления усложняет обнаружение и борьбу с угрозой.Кроме того, Fire Ant использует другую уязвимость — CVE-2023-20867, связанную с VMware Tools.
Благодаря ей злоумышленники получают возможность напрямую взаимодействовать с гостевыми виртуальными машинами через PowerCLI, повреждая работу защитных решений внутри виртуальных машин и извлекая данные учетных записей из снимков памяти, включая привилегированные учетные записи доменных контроллеров. Это расширяет возможности атакующих, позволяя им углублять проникновение в корпоративную сеть и перемещаться по сегментам, которые традиционно считались надежно защищенными.Среди интересных аспектов тактики Fire Ant — использование V2Ray фреймворка для создания туннелирования гостевых сетей, а также установка нежелательных виртуальных машин непосредственно на множество ESXi хостов. Для обхода сетевой сегментации злоумышленники эксплуатируют уязвимость CVE-2022-1388 в F5 load balancers, что дает им возможность внедрять веб-шеллы и получать постоянный доступ в различные части внутренней сети организации. Такая маневренность и устойчивость к попыткам реагирования на инциденты позволяют Fire Ant быстро восстанавливаться после частичных ликвидаций и даже подменять свои инструменты на легитимные, чтобы затруднить расследование со стороны специалистов по безопасности.
Особое внимание группа уделяет обеспечению минимального следа присутствия. Примером служит намеренное отключение процессов логирования на ESXi хостах, в частности завершение работы vmsyslogd, что устраняет записи аудита и значительно усложняет задачу последующего анализа инцидентов. Эта стратегия свидетельствует о высоком уровне подготовки Fire Ant и их желании оставаться незамеченными в течение длительного времени.Безопасность виртуальных и сетевых инфраструктур выходит на передний план, поскольку традиционные средства защиты конечных устройств оказываются бессильными перед многослойными атаками, ориентированными на гипервизорный уровень. Несмотря на высокую критичность таких систем, они зачастую не интегрированы в стандартные программы обнаружения и реагирования на инциденты.
Низкий объем создаваемой телеметрии и отсутствие специализированных инструментов делает ESXi, vCenter и F5 балансировщики идеальными точками для закрепления злоумышленников.Необходимо также учитывать геополитический контекст: Fire Ant связывают с группой UNC3886, которая принадлежит к китайско-ориентированным кибершпионским структурам. Эти группы уже давно и целенаправленно атакуют критическую инфраструктуру и сети стратегических значений в регионах Азиатско-Тихоокеанского региона и за их пределами. Власти Сингапура недавно публично обвинили UNC3886 в ряде совершенных хакерских атак против национальных объектов, что подчеркивает серьезность угрозы и необходимость повышенного внимания к таким кампаниям.Для предотвращения и минимизации ущерба от атак Fire Ant рекомендуется применять комплексные меры защиты.
Важно своевременно устанавливать все патчи, особенно те, которые закрывают известные уязвимости, включая ключевые исправления для VMware vCenter Server и VMware Tools. Рекомендуется усилить мониторинг подозрительной активности на гипервизорах и балансировщиках нагрузки, а также внедрять специализированные решения для обнаружения необычной сетевой активности и скрытых процессов.Кроме того, организации должны выстраивать стратегию сегментации сети с учетом защиты от компрометации управляющих сетевых устройств, регулярно проводить аудит учетных записей с повышенными привилегиями и ограничивать возможность их использования за пределами строго необходимых для работы систем. Проведение постоянных учебных тренировок для команд реагирования на инциденты с акцентом на мультифакторную аутентификацию и выявление сложных угроз на уровне виртуализации поможет повысить готовность к подобным атакам.Fire Ant является показателем новой волны угроз, в которой хакеры фокусируются на критической инфраструктуре и виртуализованных средах, чтобы получить максимальный контроль и долгое время оставаться незамеченными.
Эта ситуация требует от специалистов по кибербезопасности обновления подходов к защите и внедрения передовых технологий, способных обеспечивать видимость и контроль на глубоких уровнях инфраструктуры. Безопасность VMware ESXi и vCenter становится стратегически важным аспектом в борьбе с киберугрозами будущего.
