Virtualisatie- en netwerkinfrastructuur zijn het doelwit van een bedreigingsacteur die codenaam is Vuurmier als onderdeel van een langdurige cyberspionagecampagne.
De activiteit, dit jaar waargenomen, is nu voornamelijk ontworpen om de VMware ESXI- en vCenter -omgevingen van organisaties te infiltreren, evenals netwerkapparatuur, zei Sygnia in een nieuw rapport dat vandaag is gepubliceerd.
“De dreigingsacteur gebruikte combinaties van geavanceerde en heimelijke technieken die meerlagige aanvalsketens creëren om de toegang tot beperkte en gesegmenteerde netwerkactiva te vergemakkelijken binnen veronderstelde geïsoleerde omgevingen,” zei het cybersecuritybedrijf.
“De aanvaller vertoonde een hoge mate van persistentie en operationele manoeuvreerbaarheid, opererend door uitroeiingsinspanningen, zich in realtime aanpassen aan uitroeiing en insluitingsacties om de toegang tot de compromisinfrastructuur te behouden.”
Fire Ant wordt beoordeeld op het delen van gereedschap en targeting overlappingen met eerdere campagnes georkestreerd door UNC3886, een China-Nexus cyberspionagegroep bekend om zijn persistente targeting van edge-apparaten en virtualisatietechnologieën sinds ten minste 2022.
Aanvallen die door de dreigingsacteur zijn gemonteerd, zijn gevonden om een diepgewortelde controle op te stellen van VMware ESXI -hosts en vCenter -servers, die geavanceerde mogelijkheden aantonen om in gastomgevingen te draaien en netwerksegmentatie te bypass -netwerksegmentatie door netwerkapparatuur in gevaar te brengen.
Een ander opmerkelijk aspect is het vermogen van de dreigingsacteur om operationele veerkracht te handhaven door zich aan te passen aan insluitingsinspanningen, over te schakelen naar verschillende tools, fallback backdoors te laten vallen voor persistentie en netwerkconfiguraties te wijzigen om de toegang tot gecompromitteerde netwerken opnieuw te vestigen.
De inbreuk op Fire Ant van de virtualisatiebeheerlaag wordt bereikt door de exploitatie van CVE-2023-34048, een bekende beveiligingsfout in VMware vCenter Server die door UNC3886 is geëxploiteerd als een nul-dag voor jaren voordat het in oktober 2023 werd gepatcht door Broadcom.
“Uit vCenter hebben ze de referenties van de ‘VPXUSer’ serviceaccount geëxtraheerd en gebruikten ze om toegang te krijgen tot verbonden ESXI -hosts,” merkte Sygnia op. “Ze implementeerden meerdere persistente backdoors op zowel ESXI -hosts als het vCenter om toegang te behouden via reboots. De backdoor bestandsnaam, hash en implementatietechniek stemde de virtualpita -malwarefamilie af.”
Ook is een Python-gebaseerd implantaat (“AutoBackup.bin”) gedropt dat opdrachtuitvoering op externe opdracht en het downloaden van bestanden en uploaden biedt. Het draait op de achtergrond als een daemon.
Bij het verkrijgen van ongeautoriseerde toegang tot de hypervisor, zouden de aanvallers een andere fout hebben gebruikt in VMware-tools (CVE-2023-20867) om rechtstreeks te communiceren met virtuele gastvirtuele machines via PowerCLI, en hebben ze zich verstoord met het functioneren van beveiligingshulpmiddelen en geëxtraheerde crediteuren uit geheugenspanningen, inclusief die van domein-controllers.
Sommige van de andere cruciale aspecten van het traditraft van de dreigingsacteur zijn als volgt –
- V2Ray -framework laten vallen om gastnetwerktunneling te vergemakkelijken
- Niet -geregistreerde virtuele machines rechtstreeks op meerdere ESXI -hosts inzetten
- Netwerksegmentatiebarrières opsplitsen en de persistentie van het kruisvervanging vaststellen
- Weersta incidentrespons en saneringsinspanningen door hercompromiseren van activa en, in sommige gevallen, opgaan door hun payloads te hernoemen om zich voor te doen als forensische hulpmiddelen
De aanvalsketen opende uiteindelijk een route voor brandweer om aanhoudende, geheime toegang van de hypervisor tot gastbesturingssystemen te behouden. Sygnia beschreef de tegenstander ook als een “diep begrip” van de netwerkarchitectuur en het beleid van de doelomgeving om anders geïsoleerde activa te bereiken.
Vuurmier is ongewoon gericht op onopgemerkt blijven en laat een minimale inbraakvoetafdruk achter. Dit wordt bewezen in de stappen die de aanvallers hebben genomen om te knoeien met inloggen op ESXI -hosts door het “VMSYSLOGD” -proces te beëindigen, waardoor een auditpad effectief wordt onderdrukt en forensisch zichtbaarheid beperken.
De bevindingen onderstrepen een zorgwekkende trend met de aanhoudende en succesvolle targeting van netwerkrandapparaten door dreigingsactoren, met name die uit China, in de afgelopen jaren.
“Deze campagne onderstreept het belang van zichtbaarheid en detectie binnen de hypervisor- en infrastructuurlaag, waar traditionele eindpuntbeveiligingsinstrumenten niet effectief zijn,” zei Sygnia.
“Fire Ant consistently targeted infrastructure systems such as ESXi hosts, vCenter servers, and F5 load balancers. The targeted systems are rarely integrated into standard detection and response programs. These assets lack detection and response solutions and generate limited telemetry, making them ideal long-term footholds for stealthy operation.”
