Fire Ant: VMware kihasználás
Az Sygnia jelentése szerint a Fire Ant csoport különösen kifinomult módszerekkel célozza meg a VMware infrastruktúrát, többek között vCenter és ESXi szervereket, valamint hálózati eszközöket. A Fire Ant egy rendkívül pontosan célzott és visszatérő fenyegetés. Hosszú távú, kitartó műveletek jellemzik, amely sokszor többszintű, a küszöbszint alatt maradó hozzáférést biztosítanak a megtámadott rendszereken. A támadó lépések már 2025 eleje óta zajlanak, és olyan korábban ismert sebezhetőségeket használnak ki, mint a CVE‑2023‑34048 a vCenterben, amely lehetővé teszi az azonosítás nélküli távoli kódfuttatást, és a CVE‑2023‑20867 az ESXi-ben, amely révén hitelesítés nélkül hajthatnak végre parancsokat vendég virtuális gépeken belül.
A Fire Ant csoport az infrastruktúra mély rétegeibe hatol, először a vpxuser szolgáltatói fiók hitelesítő adatait lopja el, majd a vCenterből eléri az ESXi hostokat, ahol több, újraaktiválható backdoort telepít. Ezzel olyan létfontosságú rendszerekhez jut hozzá, amelyekre a hagyományos endpoint biztonság nem terjed ki. Miután megszerezte a hypervisor szintű hozzáférést, a feltört gépeken PowerCLI-n keresztül hajt végre parancsokat, kiemeli a memóriából a releváns hitelesítő adatokat, és megzavarja az EDR-olt eszközök működését – például egyes SentinelOne komponensekét is.
A támadók képessége abban rejlik, hogy megbízható infrastruktúrákat – például F5 – is elfoglalnak, IPv6 alagút-technológiával kerülik meg a hálózati szegmentálásokat, és Neo‑ReGeorg-alapú titkosított webshell-t építenek, amelyekkel külső elérést biztosítanak elszigetelt hálózati részekhez is. Ezekkel a technikákkal a válaszadás során nem elég egyszeri eltávolítás – a csoport képes újra visszatérni, eszközöket lecserélni, fájlokat átnevezni és álcázni magát, miközben megfigyeli a védelmi intézkedéseket is.
A Fire Ant tevékenysége nagyon hasonlóságot mutat a UNC3886 fenyegetéssel, amelyet korábban már Kínához közeli állami csoportként regisztráltak. Az átfedések nemcsak az alkalmazott exploit-ok és implant eszközök terén mutatkoznak meg, hanem a napi munkafolyamat és billentyűzet-beviteli minták is kínai nyelvű kiosztásra utalnak, bár a Sygnia nem vállal teljes körű atribúciót.
A Sygnia jelentése felhívja a figyelmet arra, hogy a virtualizációs és hálózati infrastruktúra – legyen az ESXi host, vCenter vagy F5 eszköz – gyakran láthatatlan marad a nagy endpoint biztonsági rendszerek számára. Emiatt létfontosságú a patch-elés kiterjesztése erre a rétegre is, erős, egyedi jelszóhasználat, PIM alapú hitelesítő-kezelés, valamint az ESXi normál Lockdown Mode-ra és Secure Boot bekapcsolására való átállás. Ezen túlmenően javasolt strict hozzáférés-szabályzás, vCenter hozzáférések tűzfal szabályozással történő szűkítése, valamint készséges rendszerszintű monitoring és inkognitó-détektálás alkalmazása
FORRÁS
