官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Sygnia事件响应与威胁情报团队近日发现一项代号为"Fire Ant"(火蚁)的高度隐蔽网络间谍活动。该行动自2025年初以来一直潜伏运作,专门针对VMware ESXi、vCenter及网络设备发起攻击,展现出针对虚拟化环境和网络隔离控制的新型精准打击能力。
攻击技术剖析
Sygnia报告指出:"威胁行为者采用多种复杂隐蔽技术组合,在原本被认为隔离的环境中构建了多层攻击链。"火蚁行动始终聚焦现代IT基础设施核心——虚拟机管理程序(hypervisor)和虚拟化管理平面。
攻击者首先通过CVE-2023-34048(一个无需认证的远程代码执行漏洞)入侵vCenter系统,获取初始访问权限后实施横向移动。报告强调:"攻击者展现出极高的持久性和操作灵活性...能实时适应防御方的清除与遏制措施。"
入侵成功后,火蚁行动采取以下手段:
- 窃取'vpxuser'服务账户凭证,获取ESXi主机的管理控制权
- 在vCenter和ESXi上安装未签名的VIB包和定制Python守护程序作为持久后门
- 部署vCenter不可见的恶意虚拟机,规避库存工具和管理员检查
- 禁用日志守护进程(vmsyslogd)以消除攻击痕迹
报告进一步说明:"攻击者操纵VMX进程,利用CVE-2023-20867漏洞通过PowerCLI执行命令,无需虚拟机内部凭证。"
跨层渗透技术
火蚁行动并未止步于虚拟机管理层。借助CVE-2023-20867等漏洞及虚拟机访问权限,攻击者:
- 使用定制版Volatility工具从挂起的虚拟机快照中提取凭证
- 部署updatelog.exe等定制二进制文件干扰终端检测与响应(EDR)系统(特别是SentinelOne)的可见性
- 通过V2Ray隧道和Neo-reGeorg网页后门维持对隔离网络的加密持久访问
为确保长期驻留,攻击者还:
- 修改/etc/rc.local.d/local.sh和autobackup.bin实现启动持久化
- 在管理工作站上使用netsh portproxy命令绕过访问控制列表(ACL)
- 通过双网卡配置将内部虚拟机暴露至公共网络
- 利用IPv6隧道路由规避基于IPv4的防火墙规则
报告指出:"通过在关键基础设施中植入隧道...火蚁行动在隔离网络间建立了多重冗余桥梁。"
动态对抗策略
火蚁行动最令人警惕的是其自适应反制策略。当防御方采取应对措施时:
- 攻击者轮换工具集、重命名有效载荷,甚至伪装成取证工具保持隐蔽
- 分析防御方日志、修改执行链,快速重新感染已清理系统
报告警告称:"威胁行为者会调查响应措施本身,审查日志、检查取证工具...并伪装成已识别的取证工具。"
攻击溯源分析
虽然Sygnia未做出明确归因,但观察到的战术、技术和工具(TTPs)与UNC3886存在相似性——这是谷歌云威胁情报此前报告过的与中国有关的APT组织。值得注意的是,活动时间、命令语法和键盘输入模式均显示中文语言环境特征,进一步佐证了归因假设。
参考来源:
Fire Ant: Stealthy Cyber-Espionage Campaign Targets VMware ESXi & vCenter, Evades Detection
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)