駭客組織Fire Ant鎖定VMware虛擬化平臺而來，利用已知漏洞入侵虛擬機器

去年1月，Google揭露中國駭客UNC3886利用零時差漏洞CVE-2023-34048的攻擊行動，駭客從2021年開始用於對VMware虛擬化平臺vCenter下手，並在癱瘓VMware服務後的數分鐘內，部署後門程式。後續有其他駭客跟進，利用這項漏洞從事網路間諜活動。

資安業者Sygnia自今年初開始，追蹤及回應由駭客組織Fire Ant的長期網路間諜活動，這些駭客專門針對VMware ESXi、vCenter，以及網路設備而來，透過Hypervisor層級的攻擊手法來迴避偵測，並持續在受害組織活動。根據駭客使用的工具與手法，Sygnia研判Fire Ant與UNC3886有所關連。

針對駭客的攻擊途徑，Sygnia指出Fire Ant對於受害組織的ESXi主機與vCenter伺服器建立強大的控制機制，然後使用未經身分驗證的命令，從主機對用戶端下達，並透過特定帳密進行存取。這些駭客為了突破不同的網段並試圖存取隔離網路環境，採取複雜且隱密的手法，組成多階段攻擊鏈。他們運用虛擬化平臺及網路基礎設施作為初始存取、橫向移動、持續活動的管道。

而且，攻擊者的手段相當靈活，因為他們積極抹除作案痕跡、更換使用的工具、部署能長期存取的後門，並操縱網路組態，而能不斷重新建立存取權限。

究竟Sygina如何發現相關活動？他們起初是在虛擬機器察覺惡意處理程序，其中最吸引他們注意的部分，是VMware Tools的處理程序vmtoolsd.exe，這代表攻擊者並非從虛擬機器內部下達命令，因此他們將調查範圍轉向虛擬化平臺，從而得到新的發現。

攻擊者如何滲透？首先，他們利用CVE-2023-34048，取得虛擬化平臺的管理權限。此為vCenter未經身分驗證的遠端程式執行（RCE）漏洞，CVSS風險達到9.8（滿分10分）。

接著，他們從vCenter挖掘服務帳號vpxuser的密碼，以此入侵ESXi主機，並在vCenter與ESXi部署後門程式，值得留意的是，即使上述系統重開機，攻擊者還是能藉由後門程式存取這些設備。

在成功控制虛擬化平臺後，攻擊者隨即對虛擬機器下手，過程中，他們操弄VMX處理程序，並利用另一個VMware Tools漏洞CVE-2023-20867，而能在不需用戶端帳密的情況下，透過PowerCLI下達命令，從而干擾資安工具運作，並從記憶體的快照截取帳密。

附帶一提的是，這些駭客還會利用V2Ray框架建立虛擬機器的網路隧道，甚至繞過正常的vCenter註冊流程部署虛擬機器，使得這些虛擬機器於背景執行，無法透過資產管理工具或一般的監控機制察覺。

除了攻擊虛擬化平臺，他們也對多種網路設備下手，例如：透過重大漏洞CVE-2022-1388攻擊F5負載平衡設備；針對基於Java平臺的網頁伺服器，植入Web Shell建立隧道；攻擊Linux主機，部署名為Medusa的Rootkit。