A infraestrutura de virtualização e networking foi alvo de um grupo de ciberespionagem codinome Fire Ant, como parte de uma prolongada campanha de espionagem cibernética.
A atividade, observada este ano, visa primordialmente infiltrar-se nos ambientes VMware ESXi e vCenter das organizações, além de appliances de rede, segundo um novo relatório publicado hoje pela Sygnia.
"O grupo ameaçador utilizou combinações de técnicas sofisticadas e furtivas criando cadeias de ataque multicamadas para facilitar o acesso a ativos de rede restritos e segmentados dentro de ambientes considerados isolados", disse a empresa de cibersegurança.
O atacante demonstrou um alto grau de persistência e manobrabilidade operacional, agindo através de esforços de erradicação, adaptando-se em tempo real às ações de erradicação e contenção para manter o acesso à infraestrutura comprometida.
Avalia-se que o Fire Ant compartilhe ferramentas e sobreposições de alvos com campanhas anteriores orquestradas pelo UNC3886, um grupo de ciberespionagem ligado à China conhecido por seu alvo persistente em dispositivos de borda e tecnologias de virtualização desde pelo menos 2022.
Os ataques montados pelo grupo ameaçador foram encontrados estabelecendo controle entrincheirado de hosts VMware ESXi e servidores vCenter, demonstrando capacidades avançadas para transitar para ambientes convidados e contornar a segmentação de rede por meio da comprometimento de appliances de rede.
Outro aspecto notável é a capacidade do grupo ameaçador de manter a resiliência operacional, adaptando-se aos esforços de contenção, alternando para diferentes ferramentas, instalando backdoors de reserva para persistência e alterando configurações de rede para restabelecer o acesso às redes comprometidas.
A violação da camada de gestão da virtualização pelo Fire Ant é alcançada pela exploração do
CVE-2023-34048
, uma falha de segurança conhecida no VMware vCenter Server que foi explorada pelo UNC3886 como um zero-day por anos antes de ser corrigida pela Broadcom em outubro de 2023.
"Do vCenter, eles extraíram as credenciais da conta de serviço 'vpxuser' e as usaram para acessar hosts ESXi conectados", observou a Sygnia.
Eles implantaram vários backdoors persistentes tanto nos hosts ESXi quanto no vCenter para manter o acesso através de reinicializações.
O nome do arquivo do backdoor, hash e técnica de implantação alinharam-se à família de malware VIRTUALPITA.
Também foi implantado um implante baseado em Python ("autobackup.bin") que fornece execução de comando remoto, e capacidades de download e upload de arquivos.
Ele funciona em segundo plano como um daemon.
Ao ganhar acesso não autorizado ao hipervisor, diz-se que os atacantes aproveitaram outra falha nas Ferramentas VMware (
CVE-2023-20867
) para interagir diretamente com máquinas virtuais convidadas via PowerCLI, além de interferir no funcionamento de ferramentas de segurança e extrair credenciais de snapshots de memória, incluindo as de controladores de domínio.
Alguns dos outros aspectos cruciais do modus operandi do grupo ameaçador incluem:
- Implementação do framework V2Ray para facilitar o tunelamento de rede convidado
- Implantação de máquinas virtuais não registradas diretamente em vários hosts ESXi
- Quebrando barreiras de segmentação de rede e estabelecendo persistência cruzada de segmentos
- Resistindo a esforços de resposta a incidentes e remediação ao recomprometer ativos e, em alguns casos, se misturando ao renomear seus payloads para se passar por ferramentas forenses
A cadeia de ataque abriu, em última instância, um caminho para o Fire Ant manter um acesso persistente e oculto do hipervisor aos sistemas operacionais convidados.
A Sygnia também descreveu o adversário como possuindo um "profundo entendimento" da arquitetura de rede do ambiente alvo e políticas para alcançar ativos de outra forma isolados.
O Fire Ant foca de maneira incomum em permanecer não detectado e deixa uma pegada de intrusão mínima.
Isso é evidenciado nas etapas tomadas pelos atacantes para adulterar a logagem em hosts ESXi, terminando o processo "vmsyslogd", efetivamente suprimindo um rastro de auditoria e limitando a visibilidade forense.
Os achados sublinham uma tendência preocupante envolvendo o direcionamento persistente e bem-sucedido de dispositivos de borda de rede por grupos ameaçadores, particularmente aqueles provenientes da China, nos últimos anos.
"Esta campanha ressalta a importância da visibilidade e detecção dentro do hipervisor e da camada de infraestrutura, onde ferramentas tradicionais de segurança de endpoint são ineficazes", disse a Sygnia.
O Fire Ant teve como alvo consistente sistemas de infraestrutura, como hosts ESXi, servidores vCenter e balanceadores de carga F5.
Os sistemas alvo raramente são integrados em programas padrão de detecção e resposta.
Esses ativos carecem de soluções de detecção e resposta e geram telemetria limitada, tornando-os pontos de apoio ideais para operações furtivas de longo prazo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...