“火蚁"网络间谍攻破隔离的VMware系统

疑似中国国家支持的黑客组织正在利用存在漏洞的VMware ESXi和vCenter环境，开展广泛的网络间谍活动。

自2025年初以来，Sygnia的研究人员已经响应了多起与被称为"火蚁"的网络间谍活动相关的事件。根据7月25日发布的研究报告，火蚁攻击者正在组织机构的VMware系统中建立初始访问权限，这些系统近年来已成为攻击者的热门目标。

更重要的是，火蚁攻击者利用对目标环境的深入了解和强大能力，持续绕过网络分段并到达网络的隔离部分。

研究团队在博客文章中表示：“威胁行为者利用了复杂和隐蔽技术的组合，创建了多层攻击杀伤链，以促进在假定为隔离的环境中访问受限和分段的网络资产。”

火蚁黑客与UNC3886的联系

Sygnia对网络间谍活动的调查发现，火蚁攻击者利用了VMware vCenter中一个近两年历史的漏洞（跟踪为CVE-2023-34048）来获得对目标组织的初始访问权限。

CVE-2023-34048最初于2023年10月披露。然而，几个月后，Mandiant报告称，该漏洞在被披露前近两年内已被一个跟踪为UNC3886的中国关联威胁组织作为零日漏洞利用。

Sygnia指出，火蚁的工具和对VMware基础设施的瞄准"与先前对威胁组织UNC3886的研究高度一致”，尽管该公司表示不进行最终归因。UNC3886近年来一直是VMware客户的眼中钉。

在火蚁活动中，攻击者使用受损的vCenter实例伪造身份验证cookie并检索服务账户凭据，以完全管理员权限访问连接的ESXi主机。通过控制ESXi主机，攻击者篡改日志以混淆威胁活动，并放置了在系统重启后仍然存在的后门。

利用漏洞深入攻击

在破坏虚拟机监控程序后，火蚁攻击者利用了另一个漏洞——CVE-2023-20867——在客户虚拟机（VM）内部执行命令，而无需所需的身份验证。CVE-2023-20867是一个身份验证绕过漏洞，同样被UNC3886利用，并由Mandiant研究人员在2023年披露。

通过在客户虚拟机中执行命令，攻击者访问虚拟内存文件以提取更多凭据，并使用自定义可执行文件篡改SentinelOne的端点检测和响应（EDR）平台。

绕过网络分段屏障

在实现对VMware环境的全栈入侵后，火蚁攻击者使用组织的网络基础设施绕过网络分段并到达隔离环境。根据研究人员的说法，攻击者利用了CVE-2022-1388（一个关键的F5漏洞，于2022年首次在野外被利用）来入侵负载均衡器。

火蚁攻击者随后访问内部Web服务器，并部署基于开源项目Neo-reGeorg的网络隧道Web shell，创建了加密的应用层隧道，连接到受害者网络的额外部分。火蚁活动使用的另一个技巧涉及使用IPv6来绕过为IPv4配置的过滤规则，Sygnia研究人员称之为"双栈环境中的常见漏洞，IPv6流量通常未被监控和过滤"。

威胁行为者还使用命令在服务器和管理员工作站上启用端口转发，这使他们能够到达网络的受限部分，而不会遇到防火墙规则或分段控制。

研究团队表示：“通过在关键基础设施中嵌入隧道、滥用受信任的管理员路径以及利用执行中的漏洞，火蚁在隔离网络之间创建了多个冗余桥梁，即使在主动响应工作下也能自由移动。”

检测与防御建议

Sygnia研究人员指出，他们发现的最早检测来自客户虚拟机内的一个单独恶意进程，该进程触发了警报。一旦他们进行调查，他们发现了来自VMware Tools部分的父进程。

他们在博客文章中写道：“这一细节表明命令不是从客户机内部启动的，而是从主机注入的。这种异常将调查转向虚拟化层，并导致发现了更广泛的活动。”

Sygnia的研究团队表示，该活动突显了组织需要加强其虚拟环境，因为许多安全产品对ESXi主机等资产缺乏足够的可见性。Sygnia敦促组织修补其VMware vCenter和ESXi实例，为所有ESXi根账户和vCenter管理用户分配唯一、复杂的密码，并使用特权身份管理（PIM）解决方案来轮换凭据和审计访问。

此外，Sygnia建议通过vCenter强制执行管理交互并为ESXi主机实施额外的分段，并应用防火墙规则将vCenter访问限制在指定资产上。该公司还建议为ESXi主机启用正常锁定模式，这可以防止直接的SSH、HTTPS和DCUI访问。