“火蚁"网络间谍攻破隔离VMware系统

怀疑与中国有关的威胁行为者针对虚拟环境，使用多种工具和技术绕过安全屏障，进入受害者网络的隔离部分。

更新：一个疑似中国国家支持的威胁组织正在进行广泛的网络间谍活动，利用易受攻击的VMware ESXi和vCenter环境。

自2025年初以来，Sygnia的研究人员已经响应了多起与代号为"火蚁"的网络间谍活动相关的事件。根据周四发布的研究报告，火蚁行为者正在组织机构的VMware系统中建立初始访问权限，这些系统近年来已成为攻击者的热门目标。

更重要的是，火蚁行为者利用对目标环境的深入了解和强大能力，持续绕过分段控制，进入网络的隔离部分。

研究团队在博客文章中表示：“威胁行为者结合使用复杂和隐蔽的技术，创建多层攻击杀伤链，以促进在假定为隔离的环境中访问受限和分段的网络资产。”

火蚁黑客与UNC3886的联系

Sygnia对网络间谍活动的调查发现，火蚁行为者利用VMware vCenter中一个近两年历史的漏洞（跟踪为CVE-2023-34048）来获得对目标组织的初始访问权限。

CVE-2023-34048最初于2023年10月披露。然而，几个月后，Mandiant报告称，该漏洞在披露前已被一个与中国有关的威胁组织UNC3886作为零日漏洞利用了近两年。

Sygnia指出，火蚁的工具和对VMware基础设施的针对性"与先前对威胁组织UNC3886的研究高度一致”，尽管该公司表示不进行最终归因。UNC3886近年来一直是VMware客户的眼中钉。

在火蚁活动中，行为者使用受损的vCenter实例伪造认证cookie并检索服务账户凭据，以完全管理员权限访问连接的ESXi主机。通过控制ESXi主机，攻击者篡改日志以混淆威胁活动，并放置了在系统重启后仍然存在的后门。

在破坏虚拟机监控程序后，火蚁行为者利用另一个漏洞——CVE-2023-20867——在客户虚拟机（VM）内部执行命令，而无需所需的认证。CVE-2023-20867是一个认证绕过缺陷，也被UNC3886利用，并由Mandiant研究人员在2023年披露。

通过在客户虚拟机中执行命令，攻击者访问虚拟内存文件以提取更多凭据，并使用自定义可执行文件篡改SentinelOne的端点检测和响应（EDR）平台。

网络攻击者打破网络屏障

在实现对VMware环境的全栈破坏后，火蚁行为者使用组织的网络基础设施绕过网络分段，进入隔离环境。根据研究人员的说法，攻击者利用CVE-2022-1388（一个关键的F5缺陷，于2022年首次在野外被利用）来破坏负载均衡器。

火蚁行为者随后访问内部Web服务器，并部署基于开源项目Neo-reGeorg的网络隧道Web shell，创建加密的应用层隧道，连接到受害者网络的额外部分。火蚁活动使用的另一个技巧涉及使用IPv6绕过为IPv4配置的过滤规则，Sygnia研究人员称之为"双栈环境中的常见漏洞，其中IPv6流量通常未被监控和过滤"。

威胁行为者还使用命令在服务器和管理员工作站上启用端口转发，这使他们能够到达网络的受限部分，而不会遇到防火墙规则或分段控制。

研究团队表示：“通过在关键基础设施中嵌入隧道、滥用可信管理员路径和利用执行中的漏洞，火蚁在隔离网络之间创建了多个冗余桥梁，即使在主动响应工作下也能自由移动。”

检测和响应挑战

Sygnia研究人员指出，他们发现的最早检测来自客户虚拟机中的一个单独恶意进程，该进程触发了警报。一旦他们进行调查，他们发现了来自VMware Tools部分的父进程。

他们在博客文章中写道：“这一细节表明命令不是从客户机内部启动的，而是从主机注入的。这种异常将调查转向虚拟化层，并导致发现了更广泛的活动。”

Sygnia的研究团队表示，该活动突显了组织需要加强其虚拟环境，因为许多安全产品对ESXi主机等资产缺乏足够的可见性。Sygnia敦促组织修补其VMware vCenter和ESXi实例，为所有ESXi根账户和vCenter管理用户分配唯一、复杂的密码，并使用特权身份管理（PIM）解决方案来轮换凭据和审计访问。

此外，Sygnia建议通过强制执行通过vCenter的管理交互并为vCenter访问应用防火墙规则，仅为指定资产实施额外的ESXi主机分段。该公司还建议为ESXi主机启用正常锁定模式，防止直接SSH、HTTPS和DCUI访问。

本故事于7月28日东部时间上午8:30更新，以反映Sygnia的评论。