Virtualizacijska i mrežna infrastruktura meta su napada na hakera kodnog imena Fire Ant kao dio produžene kampanje sajber špijunaže.
Aktivnost, uočena ove godine, prvenstveno je osmišljena kako bi se infiltrirala u VMware ESXi i vCenter okruženja organizacija, kao i u mrežne uređaje, navodi Sygnia u novom izvještaju objavljenom danas.
„Prijetnja je koristila kombinacije sofisticiranih i prikrivenih tehnika stvarajući višeslojne lance napada kako bi olakšala pristup ograničenim i segmentiranim mrežnim resursima unutar pretpostavljenih izoliranih okruženja“, saopštila je kompanija za sajber sigurnost .
“Napadač je demonstrirao visok stepen upornosti i operativne manevarske sposobnosti, djelujući kroz napore iskorjenjivanja, prilagođavajući se u realnom vremenu akcijama iskorjenjivanja i suzbijanja kako bi zadržao pristup kompromitovanoj infrastrukturi.”
Procjenjuje se da Fire Ant dijeli alate i ciljanje koji se preklapaju s prethodnim kampanjama koje je orkestrirala UNC3886 , grupa za sajber špijunažu povezana s Kinom, poznata po upornom ciljanju rubnih uređaja i tehnologija virtualizacije najmanje od 2022. godine.
Utvrđeno je da napadi koje je izveo ovaj haker uspostavljaju čvrstu kontrolu nad VMware ESXi hostovima i vCenter serverima, demonstrirajući napredne mogućnosti prelaska u gostujuća okruženja i zaobilaženje segmentacije mreže kompromitovanjem mrežnih uređaja.
Još jedan značajan aspekt je sposobnost hakera da održi operativnu otpornost prilagođavanjem naporima za suzbijanje, prelaskom na različite alate, uklanjanjem rezervnih stražnjih vrata za trajnost i promjenom mrežnih konfiguracija kako bi se ponovo uspostavio pristup kompromitovanim mrežama.
Fire Antov proboj sloja za upravljanje virtualizacijom postiže se iskorištavanjem CVE-2023-34048 , poznatog sigurnosnog propusta u VMware vCenter Serveru koji je UNC3886 iskorištavao kao zero-day propust godinama prije nego što ga je Broadcom ispravio u oktobru 2023.
„Iz vCentera su izvukli podatke za servisni račun ‘vpxuser’ i koristili ih za pristup povezanim ESXi hostovima“, napomenuo je Sygnia. „Postavili su više trajnih backdoor-ova i na ESXi hostovima i na vCentru kako bi održali pristup tokom ponovnog pokretanja sistema. Naziv datoteke, hash i tehnika postavljanja backdoor-a uskladili su se sa porodicom malware-a VIRTUALPITA.“
Takođe je predstavljen i implantat zasnovan na Pythonu (“autobackup.bin”) koji omogućava izvršavanje daljinskih naredbi i mogućnosti preuzimanja i otpremanja datoteka. Radi u pozadini kao daemon.
Nakon što su dobili neovlašteni pristup hipervizoru, napadači su navodno iskoristili još jednu manu u VMware Tools-u ( CVE-2023-20867 ) kako bi direktno komunicirali s gostujućim virtualnim mašinama putem PowerCLI-ja, kao i ometali funkcioniranje sigurnosnih alata i izvukli kredenicijale iz snimaka memorije, uključujući i one kontrolera domena.
Neki od drugih ključnih aspekata zanatstva aktera prijetnje su sljedeći –
- Ukidanje V2Ray okvira radi olakšavanja tuneliranja gostujuće mreže
- Direktno postavljanje neregistrovanih virtuelnih mašina na više ESXi hostova
- Rušenje barijera segmentacije mreže i uspostavljanje perzistentnosti među segmentima
- Otporite se naporima za reagovanje na incidente i sanaciju ponovnim kompromitovanjem imovine i, u nekim slučajevima, uklapanjem u okolinu preimenovanjem njihovih korisnih podataka kako bi se imitirali forenzički alati
Lanac napada je na kraju otvorio put Fire Antu da održi stalan, tajni pristup od hipervizora do gostujućih operativnih sistema. Sygnia je također opisao protivnika kao nekoga ko posjeduje “duboko razumijevanje” mrežne arhitekture i politika ciljnog okruženja kako bi došao do inače izolovanih resursa.
Fire Ant je neobično fokusiran na to da ostane neotkriven i ostavlja minimalan trag upada. To se vidi u koracima koje su napadači poduzeli kako bi manipulirali logovanjem na ESXi hostovima prekidanjem procesa “vmsyslogd”, efektivno potiskujući revizijski trag i ograničavajući forenzičku vidljivost.
Ovi nalazi naglašavaju zabrinjavajući trend koji uključuje uporno i uspješno ciljanje uređaja na rubu mreže od strane aktera prijetnji , posebno onih iz Kine , posljednjih godina.
„Ova kampanja naglašava važnost vidljivosti i detekcije unutar hipervizora i sloja infrastrukture, gdje tradicionalni alati za sigurnost krajnjih tačaka nisu učinkoviti“, rekao je Sygnia.
“Fire Ant je dosljedno ciljao infrastrukturne sisteme kao što su ESXi hostovi, vCenter serveri i F5 load balanceri. Ciljani sistemi su rijetko integrirani u standardne programe za detekciju i odgovor. Ovim resursima nedostaju rješenja za detekciju i odgovor i generiraju ograničenu telemetriju, što ih čini idealnim dugoročnim uporištima za prikriveno djelovanje.”
Ovaj razvoj događaja dolazi sedmicu dana nakon što je Singapur uperio prstom u UNC3886 zbog izvođenja sajber napada usmjerenih na lokalnu kritičnu infrastrukturu koja pruža osnovne usluge. Vlada nije ponudila daljnje detalje.
“UNC3886 predstavlja ozbiljnu prijetnju za nas i ima potencijal da potkopa našu nacionalnu sigurnost”, rekao je u govoru ministar za koordinaciju nacionalne sigurnosti, K. Shanmugam. “Cilja na visoko vrijedne strateške mete prijetnji, vitalnu infrastrukturu koja pruža esencijalne usluge.”
U objavi na Facebooku, kineska ambasada je saopštila da su takve tvrdnje “neosnovane klevete i optužbe” i da su informacioni sistemi 9. azijskih zimskih igara ranije ovog februara bili izloženi preko 270.000 sajber napada iz inostranstva.
„Pored nedavnog konteksta pripisivanja odgovornosti koje je otkrio singapurski ministar nacionalne sigurnosti, možemo istaknuti da aktivnost grupe predstavlja rizik za kritičnu infrastrukturu koji se proteže izvan regionalnih granica Singapura i regije APJ“, rekao je za The Hacker News Yoav Mazor, šef odjela za odgovor na incidente u Sygniji.
(Priča je ažurirana nakon objavljivanja kako bi uključila odgovor od Sygnije.)
Izvor:The Hacker News
