تستعرض هذه المقالة كيف استغل النمل الناري ثغرات VMware لاختراق مضيفي ESXi وبيئات vCenter، مما يبرز أهمية الرؤية والاكتشاف في طبقة البنية التحتية.
استغلال النمل الناري لثغرات VMware لاختراق مضيفي ESXi وبيئات vCenter
24 يوليو 2025رافي لاكشمانان – الافتراضية / أمان الشبكات
استهدفت بنية الافتراضية والشبكات من قبل جهة تهديد تُدعى النمل الناري كجزء من حملة تجسس إلكتروني مطولة.
تمت ملاحظة هذا النشاط هذا العام، حيث تم تصميمه بشكل أساسي لاختراق بيئات VMware ESXi وvCenter بالإضافة إلى الأجهزة الشبكية، وفقًا لتقرير جديد نشرته شركة Sygnia اليوم.
“استفادت جهة التهديد من مجموعات من التقنيات المتطورة والخفية لإنشاء سلاسل قتل متعددة الطبقات لتسهيل الوصول إلى الأصول الشبكية المقيدة والموضوعة في بيئات مفترضة معزولة،” قالت الشركة.
“أظهر المهاجم درجة عالية من المثابرة والقدرة على المناورة، حيث عمل من خلال جهود الإزالة، متكيفًا في الوقت الفعلي مع إجراءات الإزالة والاحتواء للحفاظ على الوصول إلى البنية التحتية المخترقة.”
يُعتقد أن النمل الناري يشترك في أدوات وأهداف متداخلة مع حملات سابقة من تنظيم UNC3886، وهي مجموعة تجسس إلكتروني مرتبطة بالصين معروفة باستهدافها المستمر للأجهزة الطرفية وتقنيات الافتراضية منذ عام 2022 على الأقل.
تم العثور على الهجمات التي شنتها جهة التهديد لتؤسس سيطرة راسخة على مضيفي VMware ESXi وخوادم vCenter، مما يظهر قدرات متقدمة للتنقل إلى بيئات الضيوف وتجاوز تقسيم الشبكة عن طريق اختراق الأجهزة الشبكية.
جانب آخر جدير بالملاحظة هو قدرة جهة التهديد على الحفاظ على المرونة التشغيلية من خلال التكيف مع جهود الاحتواء، والتبديل إلى أدوات مختلفة، وإسقاط أبواب خلفية احتياطية من أجل الاستمرارية، وتغيير تكوينات الشبكة لإعادة تأسيس الوصول إلى الشبكات المخترقة.
تم تحقيق اختراق النمل الناري لطبقة إدارة الافتراضية من خلال استغلال CVE-2023-34048، وهي ثغرة أمنية معروفة في خادم VMware vCenter التي تم استغلالها من قبل UNC3886 كثغرة صفرية لسنوات قبل أن يتم تصحيحها من قبل Broadcom في أكتوبر 2023.
“من vCenter، استخرجوا بيانات اعتماد حساب الخدمة ‘vpxuser’ واستخدموها للوصول إلى مضيفي ESXi المتصلين،” لاحظت Sygnia. “قاموا بنشر أبواب خلفية متعددة دائمة على كل من مضيفي ESXi وvCenter للحفاظ على الوصول عبر إعادة التشغيل. كان اسم ملف الباب الخلفي، والتجزئة، وتقنية النشر تتماشى مع عائلة برمجيات VIRTUALPITA.”
كما تم إسقاط غرسة قائمة على بايثون (“autobackup.bin”) توفر تنفيذ الأوامر عن بُعد، وقدرات تحميل وتنزيل الملفات. تعمل في الخلفية كخدمة.
عند الحصول على وصول غير مصرح به إلى الهايبرفايزر، يُقال إن المهاجمين استغلوا ثغرة أخرى في VMware Tools (CVE-2023-20867) للتفاعل مباشرة مع الآلات الافتراضية الضيفية عبر PowerCLI، بالإضافة إلى التدخل في عمل أدوات الأمان واستخراج بيانات الاعتماد من لقطات الذاكرة، بما في ذلك تلك الخاصة بوحدات التحكم في المجال.
بعض الجوانب الأخرى الهامة لأسلوب جهة التهديد هي كما يلي –
- إسقاط إطار عمل V2Ray لتسهيل نفق الشبكة الضيفية
- نشر آلات افتراضية غير مسجلة مباشرة على مضيفي ESXi المتعددين
- كسر حواجز تقسيم الشبكة وإقامة استمرارية عبر المقاطع
- مقاومة جهود الاستجابة للحوادث والإزالة من خلال إعادة اختراق الأصول، وفي بعض الحالات، الاندماج عن طريق إعادة تسمية حمولاتهم لتقليد أدوات الطب الشرعي
فتحت سلسلة الهجمات في النهاية مسارًا للنمل الناري للحفاظ على وصول مستمر وخفي من الهايبرفايزر إلى أنظمة التشغيل الضيفية. كما وصفت Sygnia الخصم بأنه يمتلك “فهمًا عميقًا” لهندسة الشبكة وسياسات البيئة المستهدفة من أجل الوصول إلى الأصول المعزولة.
يتميز النمل الناري بتركيزه غير العادي على البقاء غير مكتشف ويترك أثر اقتحام محدود. يتضح ذلك من الخطوات التي اتخذها المهاجمون للتلاعب بالتسجيل على مضيفي ESXi من خلال إنهاء عملية “vmsyslogd”، مما يؤدي إلى قمع أثر التدقيق وتقليل الرؤية الجنائية.
تؤكد النتائج اتجاهًا مقلقًا يتمثل في الاستهداف المستمر والناجح لأجهزة الشبكة الطرفية من قبل الجهات الفاعلة في التهديد، وخاصة تلك القادمة من الصين، في السنوات الأخيرة.
“تسلط هذه الحملة الضوء على أهمية الرؤية والاكتشاف ضمن طبقة الهايبرفايزر والبنية التحتية، حيث تكون أدوات أمان النقاط النهائية التقليدية غير فعالة،” قالت Sygnia.
“استهدف النمل الناري باستمرار أنظمة البنية التحتية مثل مضيفي ESXi وخوادم vCenter وF5 load balancers. الأنظمة المستهدفة نادرًا ما تكون مدمجة في برامج الاكتشاف والاستجابة القياسية. تفتقر هذه الأصول إلى حلول الاكتشاف والاستجابة وتولد بيانات محدودة، مما يجعلها نقاط انطلاق مثالية للعمل الخفي على المدى الطويل.”
تسلط هذه الحملة الضوء على أهمية تعزيز أمان الشبكات والبنية التحتية الافتراضية لمواجهة التهديدات المتزايدة.
