La virtualización y la infraestructura de redes han sido atacadas por un actor de amenaza en código Hormiga de fuego como parte de una campaña prolongada de espionaje cibernético.
La actividad, observada este año, está diseñada principalmente ahora para infiltrarse en los entornos VMware ESXI y vCenter de las organizaciones, así como los dispositivos de red, dijo Sygnia en un nuevo crónica publicado hoy.
“El actor de amenaza aprovechó las combinaciones de técnicas sofisticadas y sigilosas que crean cadenas de ataque de múltiples capas para proveer el comunicación a activos de red restringidos y segmentados internamente de los entornos aislados”, dijo la compañía de seguridad cibernética.
“El atacante demostró un parada porción de persistencia y maniobrabilidad operativa, operando a través de esfuerzos de erradicación, adaptándose en tiempo positivo para erradicar y contener acciones para apoyar el comunicación a la infraestructura de compromiso”.
Se evalúa que Fire Ant comparte herramientas y se dirige a superposiciones con campañas anteriores orquestadas por UNC3886, un corro de espionaje cibernético de China-Nexus conocido por su focalización persistente de dispositivos de borde y tecnologías de virtualización desde al menos 2022.
Se ha antitético que los ataques montados por el actor de amenaza establecen un control arraigado de los hosts ESXi de VMware y los servidores vCenter, lo que demuestra capacidades avanzadas para pivotar en entornos de huéspedes y excluir la segmentación de la red al comprometer los dispositivos de red.
Otro aspecto trascendental es la capacidad del actor de amenaza para apoyar la resistor operativa al adaptarse a los esfuerzos de contención, cambiar a diferentes herramientas, dejar caer los posibles de fondo para persistencia y alterar las configuraciones de la red para restablecer el comunicación a redes comprometidas.
La violación de Fire Ant de la capa de gobierno de virtualización se logra mediante la explotación de CVE-2023-34048, una defecto de seguridad conocida en el servidor vMware vCenter que ha sido explotado por UNC3886 como un día cero durante primaveras ayer de que Broadcom se parquee en octubre de 2023.
“Desde vCenter, extrajeron las credenciales de la cuenta de servicio ‘VPXUSER’ y las usaron para consentir a los hosts ESXI conectados”, señaló Sygnia. “Implementaron múltiples puertas traseras persistentes tanto en los hosts ESXi como en el vCenter para apoyar el comunicación a través de los reinicios. El nombre de archivo de la puerta trasera, el hash y la técnica de implementación alineaban a la comunidad de malware Virtualpita”.
Asimismo es un implante basado en Python (“Autobackup.bin”) que proporciona una ejecución de comandos remotos y capacidades de descarga y carga de archivos. Se ejecuta en el fondo como un demonio.
Al obtener comunicación no acreditado al hipervisor, se dice que los atacantes aprovecharon otro defecto en las herramientas VMware (CVE-2023-20867) para interactuar directamente con las máquinas virtuales de los invitados a través de PowerCli, así como interfirido con el funcionamiento de las herramientas de seguridad y las credenciales extraídas de las instantáneas de la memoria, incluidos los controladores de dominio.
Algunos de los otros aspectos cruciales de la artesanía del actor de amenaza son los siguientes
- Drting V2RAY Framework para proveer la túnel de la red de invitados
- Implementación de máquinas virtuales no registradas directamente en múltiples hosts ESXi
- Desglosar las barreras de segmentación de red y establecer la persistencia de los segmentos cruzados
- Resista la respuesta a incidentes y los esfuerzos de remediación al retornar a comprometer los activos y, en algunos casos, combinarse renombrando sus cargas aperos para hacer advenir por herramientas forenses
La cautiverio de ataque finalmente abrió un camino para que Fire Ant para apoyar el comunicación persistente y encubierto desde el hipervisor hasta los sistemas operativos huéspedes. Sygnia igualmente describió que el adversario poseía una “comprensión profunda” de la casa y las políticas de red del entorno objetivo para alcanzar los activos aislados de otro modo.
Fire Ant se enfoca inusualmente en permanecer sin ser detectado y deja una huella de intrusión mínima. Esto se evidencia en los pasos tomados por los atacantes para manipular el registro de los hosts ESXI terminando el proceso “VMSYSLOGD”, suprimiendo efectivamente un sendero de auditoría y limitando la visibilidad forense.
Los hallazgos subrayan una tendencia preocupante que involucra la orientación persistente y exitosa de los dispositivos de la red de los actores de amenaza, particularmente los de China, en los últimos primaveras.
“Esta campaña subraya la importancia de la visibilidad y la detección internamente de la capa de hipervisor e infraestructura, donde las herramientas de seguridad de punto final tradicional son ineficaces”, dijo Sygnia.
“Fire Ant consistentemente sistemas de infraestructura dirigidos como hosts ESXI, servidores vCenter y equilibradores de carga F5. Los sistemas específicos rara vez se integran en los programas de detección y respuesta normalizado. Estos activos carecen de soluciones de detección y respuesta y generan telemetría limitada, lo que les hace emparejamientos a abundante plazo para una operación acalora”.
El ampliación se produce una semana posteriormente de que Singapur señalara los dedos en UNC3886 para aceptar a punta ataques cibernéticos dirigidos a la infraestructura crítica tópico que brinda servicios esenciales. El gobierno no ofreció más detalles.
“UNC3886 plantea una seria amenaza para nosotros y tiene el potencial de socavar nuestra seguridad doméstico”, dijo en un discurso el Ministro Coordinador de Seguridad Doméstico, K. Shanmugam. “Darea objetivos de amenaza estratégica de parada valencia, infraestructura vitalista que brinda servicios esenciales”.
En una publicación de Facebook, la embajada china dijo que tales afirmaciones eran “frotis y acusaciones infundadas”, y que los sistemas de información de los juegos de invierno del noveno oriental fueron sometidos a más de 270,000 ataques cibernéticos del extranjero a principios de febrero.
“Adicionalmente del contexto flamante de la atribución revelada por el Ministro de Seguridad Doméstico de Singapur, podemos resaltar que la actividad del corro plantea riesgos para la infraestructura crítica que se extienden más allá de las fronteras regionales de Singapur y la región de APJ”, Yoav Mazor, patrón de respuesta de incidentes en Sygnia, dijo a Hacker News.
(La historia se actualizó posteriormente de la publicación para incluir una respuesta de Sygnia).
