استغلال النمل الناري لثغرات VMware لاختراق بيئات ESXi وvCenter
استهدفت بنية التحتية للتخزين الافتراضي والشبكات من قبل جهة تهديد تحمل الاسم الرمزي النمل الناري كجزء من حملة تجسس إلكتروني مطولة.
تمت ملاحظة هذه الأنشطة هذا العام، وتهدف بشكل أساسي إلى التسلل إلى بيئات VMware ESXi وvCenter بالإضافة إلى الأجهزة الشبكية، كما ذكرت شركة Sygnia في تقرير جديد نُشر اليوم.
“استفاد المهاجم من تركيبات من التقنيات المتطورة والسرية، مما أدى إلى إنشاء سلاسل قتل متعددة الطبقات لتسهيل الوصول إلى الأصول الشبكية المقيدة والموضوعة في بيئات مفترض أنها معزولة،” كما قالت الشركة المتخصصة في الأمن السيبراني.
“أظهر المهاجم درجة عالية من المثابرة والقدرة على المناورة، حيث عمل من خلال جهود الإزالة، متكيفًا في الوقت الفعلي مع إجراءات الإزالة والاحتواء للحفاظ على الوصول إلى البنية التحتية المخترقة.”
يُعتقد أن النمل الناري يشارك في أدوات واستهدافات متداخلة مع الحملات السابقة التي نظمتها UNC3886، وهي مجموعة تجسس إلكتروني مرتبطة بالصين معروفة باستهدافها المستمر للأجهزة الطرفية وتقنيات التخزين الافتراضي منذ عام 2022 على الأقل.
قدرات الهجوم
تم العثور على الهجمات التي شنها المهاجم لتؤسس سيطرة راسخة على مضيفي VMware ESXi وخوادم vCenter، مما يظهر قدرات متقدمة للتنقل إلى بيئات الضيوف وتجاوز تقسيم الشبكة من خلال اختراق الأجهزة الشبكية.
جانب آخر جدير بالملاحظة هو قدرة المهاجم على الحفاظ على المرونة التشغيلية من خلال التكيف مع جهود الاحتواء، والتبديل إلى أدوات مختلفة، وإسقاط أبواب خلفية احتياطية للحفاظ على الوصول، وتغيير تكوينات الشبكة لإعادة تأسيس الوصول إلى الشبكات المخترقة.
تم تحقيق اختراق النمل الناري لطبقة إدارة التخزين الافتراضي من خلال استغلال CVE-2023-34048، وهي ثغرة أمنية معروفة في خادم VMware vCenter تم استغلالها من قبل UNC3886 كثغرة صفرية لسنوات قبل أن يتم تصحيحها من قبل Broadcom في أكتوبر 2023.
“من vCenter، استخرجوا بيانات اعتماد حساب الخدمة ‘vpxuser’ واستخدموها للوصول إلى مضيفي ESXi المتصلين،” كما أشار Sygnia. “نشروا عدة أبواب خلفية دائمة على كل من مضيفي ESXi وvCenter للحفاظ على الوصول عبر إعادة التشغيل. كانت أسماء الملفات، والهاش، وتقنية النشر تتماشى مع عائلة البرمجيات الخبيثة VIRTUALPITA.”
كما تم إسقاط زرع قائم على بايثون (“autobackup.bin”) يوفر تنفيذ الأوامر عن بُعد، وقدرات تحميل وتنزيل الملفات. يعمل في الخلفية كخدمة.
بعد الحصول على الوصول غير المصرح به إلى المحاكي، يُقال إن المهاجمين استغلوا ثغرة…
