La virtualización y la infraestructura de redes son atacadas por los actores de amenaza llamados hormigas de fuego como parte de una campaña cibernética a largo plazo.
La actividad observada este año se está diseñando principalmente para infiltrarse en los entornos VMware ESXi y vCenter de las organizaciones, así como a los electrodomésticos de red, dijo Sygnia en un nuevo informe publicado hoy.
«Los actores de amenaza utilizaron técnicas de sigilo sofisticadas en técnicas de sigilo sofisticadas para facilitar el acceso a activos de red limitados y segmentados, presumiblemente entornos aislados», dijo la compañía de seguridad cibernética.
«Los atacantes han operado a través de los esfuerzos de erradicación y se han adaptado en tiempo real para la erradicación y las medidas de contención para mantener el acceso a una infraestructura comprometida, lo que demuestra altos niveles de sostenibilidad y maniobrabilidad operativa».
Fire Ant será evaluado para compartir superposiciones objetivo con campañas anteriores organizadas por UNC3886, un grupo cibernético chino-nexo conocido por su focalización persistente de dispositivos de borde y tecnologías de virtualización desde al menos 20222.
Se sabe que los ataques instalados por los actores de amenaza establecen el control arraigado de los hosts ESXi de VMware y los servidores vCenter, lo que demuestra capacidades avanzadas para pivotar en el entorno de huéspedes y evitar la segmentación de red al violar el dispositivo de red.
Otro aspecto notable es la capacidad de los actores de amenazas para mantenerse resistentes operativos al adaptarse a los esfuerzos de contención, cambiar a varias herramientas, dejar caer puertas alternativas para la sostenibilidad y cambiar las configuraciones de red para restablecer el acceso a redes comprometidas.
La violación de la capa de gestión de virtualización de Fire Ant se logra a través de la explotación de CVE-2023-34048, una falla de seguridad conocida en los servidores vMware vCenter que había sido explotado como día cero por UNC3886 antes de que Broadcom fuera reparada en octubre de 2023.
«Desde vCenter, extrajeron las credenciales para la cuenta de servicio ‘VPXUSER’ y las usaron para acceder a los hosts ESXI conectados», dijo Sygnia. «Implementaron múltiples antecedentes persistentes tanto en el host ESXI como en el vCenter para mantener el acceso a lo largo del reinicio. Los nombres de archivos de puerta trasera, el hash y las técnicas de implementación alinearon a la familia de malware Virtualpita».
También elimina el implante basado en Python («Autobackup.bin») que proporciona ejecución de comandos remotos y la capacidad de descargar y cargar archivos. Se ejecuta en el fondo como demonio.
Obtener acceso no autorizado al hipervisor, se dice que el atacante ha explotado otro defecto en la herramienta VMware (CVE-2023-20867) para interactuar directamente con la herramienta de invitado a través de la prueba de alimentación, bloqueando la funcionalidad de la herramienta de seguridad y las calificaciones extraídas de las instantáneas de memoria como los controladores de dominio.
Algunos de los otros aspectos importantes del producto del actor de amenaza son:
Deje caer el marco V2RAY para facilitar el túnel de la red de invitados, implementar máquinas virtuales no registradas directamente a múltiples hosts ESXi, dividir las barreras de segmentación de red y establecer el establecimiento de segmentos transversales.
La cadena de ataque finalmente abrió una ruta de hormigas de fuego para mantener el acceso secreto y secreto sostenido desde el hipervisor al sistema operativo invitado. Sygnia también afirma que tiene una «comprensión profunda» de la arquitectura de red y las políticas del entorno objetivo, para alcanzar los activos aislados.
Fire Ant es un enfoque anormal en permanecer sin ser detectado, minimizando la huella de las intrusiones. Esto se evidencia por los pasos tomados por los atacantes para manipular los registros en los hosts de ESXi terminando el proceso «VMSYSLOGD», suprimiendo de manera efectiva los senderos de auditoría y limitando la visibilidad forense.
Los hallazgos destacan una tendencia preocupante en los últimos años, incluida la orientación sostenida y exitosa de los dispositivos de borde de la red por parte de los actores de amenazas, particularmente los actores de amenazas de China.
«Esta campaña destaca la importancia de la visibilidad y la detección dentro de los hipervisores y las capas de infraestructura donde las herramientas tradicionales de seguridad de punto final son ineficaces», dijo Sygnia.
«Las hormigas de fuego, como los hosts ESXi, los servidores vCenter y los equilibradores de carga F5, son sistemas de infraestructura dirigidos consistentemente.
Source link
