La virtualización y la infraestructura de redes han sido atacadas por un actor de amenaza en código Hormiga de fuego como parte de una campaña prolongada de espionaje cibernético.
La actividad, observada este año, está diseñada principalmente ahora para infiltrarse en los entornos VMware ESXI y vCenter de las organizaciones, así como los dispositivos de red, dijo Sygnia en un nuevo informe publicado hoy.
«El actor de amenaza aprovechó las combinaciones de técnicas sofisticadas y sigilosas que crean cadenas de ataque de múltiples capas para facilitar el acceso a activos de red restringidos y segmentados dentro de los entornos aislados», dijo la compañía de seguridad cibernética.
«El atacante demostró un alto grado de persistencia y maniobrabilidad operativa, operando a través de esfuerzos de erradicación, adaptándose en tiempo real para erradicar y contener acciones para mantener el acceso a la infraestructura de compromiso».
Se evalúa que Fire Ant comparte herramientas y se dirige a superposiciones con campañas anteriores orquestadas por UNC3886, un grupo de espionaje cibernético de China-Nexus conocido por su focalización persistente de dispositivos de borde y tecnologías de virtualización desde al menos 2022.
Se ha encontrado que los ataques montados por el actor de amenaza establecen un control arraigado de los hosts ESXi de VMware y los servidores vCenter, lo que demuestra capacidades avanzadas para pivotar en entornos de huéspedes y omitir la segmentación de la red al comprometer los dispositivos de red.
Otro aspecto notable es la capacidad del actor de amenaza para mantener la resistencia operativa al adaptarse a los esfuerzos de contención, cambiar a diferentes herramientas, dejar caer los posibles de fondo para persistencia y alterar las configuraciones de la red para restablecer el acceso a redes comprometidas.
La violación de Fire Ant de la capa de gestión de virtualización se logra mediante la explotación de CVE-2023-34048, una falla de seguridad conocida en el servidor vMware vCenter que ha sido explotado por UNC3886 como un día cero durante años antes de que Broadcom se parquee en octubre de 2023.
«Desde vCenter, extrajeron las credenciales de la cuenta de servicio ‘VPXUSER’ y las usaron para acceder a los hosts ESXI conectados», señaló Sygnia. «Implementaron múltiples puertas traseras persistentes tanto en los hosts ESXi como en el vCenter para mantener el acceso a través de los reinicios. El nombre de archivo de la puerta trasera, el hash y la técnica de implementación alineaban a la familia de malware Virtualpita».
También es un implante basado en Python («Autobackup.bin») que proporciona una ejecución de comandos remotos y capacidades de descarga y carga de archivos. Se ejecuta en el fondo como un demonio.
Al obtener acceso no autorizado al hipervisor, se dice que los atacantes aprovecharon otro defecto en las herramientas VMware (CVE-2023-20867) para interactuar directamente con las máquinas virtuales de los invitados a través de PowerCli, así como interfirido con el funcionamiento de las herramientas de seguridad y las credenciales extraídas de las instantáneas de la memoria, incluidos los controladores de dominio.
Algunos de los otros aspectos cruciales de la artesanía del actor de amenaza son los siguientes
- Drting V2RAY Framework para facilitar la túnel de la red de invitados
- Implementación de máquinas virtuales no registradas directamente en múltiples hosts ESXi
- Desglosar las barreras de segmentación de red y establecer la persistencia de los segmentos cruzados
- Resista la respuesta a incidentes y los esfuerzos de remediación al volver a comprometer los activos y, en algunos casos, combinarse renombrando sus cargas útiles para hacer pasar por herramientas forenses
La cadena de ataque finalmente abrió un camino para que Fire Ant para mantener el acceso persistente y encubierto desde el hipervisor hasta los sistemas operativos huéspedes. Sygnia también describió que el adversario poseía una «comprensión profunda» de la arquitectura y las políticas de red del entorno objetivo para alcanzar los activos aislados de otro modo.
Fire Ant se enfoca inusualmente en permanecer sin ser detectado y deja una huella de intrusión mínima. Esto se evidencia en los pasos tomados por los atacantes para manipular el registro de los hosts ESXI terminando el proceso «VMSYSLOGD», suprimiendo efectivamente un sendero de auditoría y limitando la visibilidad forense.
Los hallazgos subrayan una tendencia preocupante que involucra la orientación persistente y exitosa de los dispositivos de la red de los actores de amenaza, particularmente los de China, en los últimos años.
«Esta campaña subraya la importancia de la visibilidad y la detección dentro de la capa de hipervisor e infraestructura, donde las herramientas de seguridad de punto final tradicional son ineficaces», dijo Sygnia.
«Fire Ant consistentemente sistemas de infraestructura dirigidos como hosts ESXI, servidores vCenter y equilibradores de carga F5. Los sistemas específicos rara vez se integran en los programas de detección y respuesta estándar. Estos activos carecen de soluciones de detección y respuesta y generan telemetría limitada, lo que les hace emparejamientos a largo plazo para una operación acalora».
El desarrollo se produce una semana después de que Singapur señalara los dedos en UNC3886 para llevar a cabo ataques cibernéticos dirigidos a la infraestructura crítica local que brinda servicios esenciales. El gobierno no ofreció más detalles.
«UNC3886 plantea una seria amenaza para nosotros y tiene el potencial de socavar nuestra seguridad nacional», dijo en un discurso el Ministro Coordinador de Seguridad Nacional, K. Shanmugam. «Darea objetivos de amenaza estratégica de alto valor, infraestructura vital que brinda servicios esenciales».
En una publicación de Facebook, la embajada china dijo que tales afirmaciones eran «frotis y acusaciones infundadas», y que los sistemas de información de los juegos de invierno del noveno asiático fueron sometidos a más de 270,000 ataques cibernéticos del extranjero a principios de febrero.
«Además del contexto reciente de la atribución revelada por el Ministro de Seguridad Nacional de Singapur, podemos resaltar que la actividad del grupo plantea riesgos para la infraestructura crítica que se extienden más allá de las fronteras regionales de Singapur y la región de APJ», Yoav Mazor, jefe de respuesta de incidentes en Sygnia, dijo a Hacker News.
(La historia se actualizó después de la publicación para incluir una respuesta de Sygnia).