“Fire Ant” нэртэй хакерын бүлэг виртуалчлал болон сүлжээний дэд бүтцэд чиглэсэн тагнуулын халдлага үйлдэж байна
Sygnia кибер аюулгүй байдлын компанийн өнөөдөр нийтэлсэн шинэ тайланд дурдсанаар, “Fire Ant” хэмээн нэрлэгдсэн халдагч этгээд виртуалчлал болон сүлжээний дэд бүтцийг чиглэсэн урт хугацааны кибер тагнуулын кампанит ажил явуулж байна. “Тэд олон шатат, нарийн техникүүдийг хослуулан, тусгаарлагдсан болон сегментлэгдсэн сүлжээний нөөцөд нэвтрэх зорилгоор олон үе шаттай халдлагын гинжин хэлхээ бүтээсэн” гэж тайланд дурджээ.
Ашигласан гол аргууд:
VMware ESXi болон vCenter серверүүд рүү нэвтэрч, системийн гүн рүү хяналт тогтоох
Сүлжээний төхөөрөмжүүд (network appliances)-ийг хакердаж, сүлжээний сегмент хооронд чөлөөтэй нэвтрэх
CVE-2023-34048 нэртэй vCenter-ийн аюулгүй байдлын алдааг ашиглах замаар виртуалчлалын удирдлагын давхаргад нэвтрэх
Энэхүү CVE-2023-34048 нь олон жилийн турш UNC3886 нэртэй Хятадтай холбоотой бүлгийн зүгээс "zero-day" (шинэ, мэдэгдээгүй эмзэг байдал) хэлбэрээр ашиглагдаж байсан бөгөөд 2023 оны 10 сард Broadcom компанид засагдсан юм.
Халдлагын явцад хийсэн гол алхмууд:
vCenter-оос vpxuser үйлчилгээний нууц үгийг хулгайлж, холбогдсон ESXi серверүүд рүү нэвтэрсэн
ESXi болон vCenter дээр дахин ачаалсан ч устдаггүй backdoor суулгасан. Энэ нь VIRTUALPITA төрлийн хорт програмтай ижил техник, файл нэр, hash ашигласан
autobackup.bin нэртэй Python-д суурилсан фонов (daemon) хорт програмыг байршуулсан. Энэ нь алсын команд гүйцэтгэх, файл татах/байршуулах боломжтой
VMware Tools-ийн өөр нэгэн алдаа CVE-2023-20867-г ашиглан PowerCLI ашиглан виртуал машинтай шууд харьцсан
Domain controller зэрэг системийн дотоод санах ой (memory snapshot)-оос нууц үг авч чадсан
“Fire Ant” бүлгийн техникийн чадварууд:
V2Ray сүлжээ туннел үүсгэх хүрээ суурилуулсан
Бүртгэгдээгүй виртуал машинуудыг шууд олон ESXi хост дээр байршуулсан
CVE-2022-1388 алдааг ашиглан F5 load balancer төхөөрөмжийг хакердаж, web shell байршуулснаар сүлжээний сегментүүдийн хооронд нэвтрэх чадвартай болсон
Мөрдөн шалгалтаас бултахын тулд өөрсдийн ашиглаж буй ачаалал (payload)-ын нэрийг forensic tool-ийн нэрээр сольж, андуурч танигдахааргүй болгосон
Илрүүлэхээс зайлсхийх арга:
ESXi серверийн лог бүртгэлийг устгах зорилгоор vmsyslogd процессыг зогсоож, хяналтын ул мөрийг арилгасан
Хорт кодоо дахин нэрлэх, нууц суулгалт ашиглах зэргээр аль болох нуугдсан хэвээр үлдэхийг зорьсон
Дүгнэлт:
Fire Ant нь сүлжээний захын төхөөрөмжүүд (edge devices) болон виртуалчлалын технологи-ийг системтэйгээр, өндөр нарийвчлалтайгаар онилж байгаа нь санаа зовоож байна. Энэ үйл ажиллагаа нь UNC3886 зэрэг өмнө нь Хятадын гаралтай гэж үзэгддэг бүлгүүдийн халдлагуудтай хэрэгсэл болон зорилтот талуудын хувьд ижил байгаагаар онцлог байна.
