Un nuevo actor de amenaza con el nombre de «Fire Ant» está atacando
infraestructuras de virtualización como parte de una campaña prolongada de
ciberespionaje.
Según dijo la emprsa Sygnia, la actividad, observada este año, está diseñada principalmente para
infiltrarse en los entornos VMware ESXI y vCenter de las organizaciones, así
como los dispositivos de red.
«El actor de amenaza aprovechó las combinaciones de técnicas sofisticadas y
sigilosas que crean cadenas de ataque de múltiples capas para facilitar el
acceso a activos de red restringidos y segmentados dentro de los entornos
aislados», dijo la compañía de seguridad.
«El atacante demostró un alto grado de persistencia y maniobrabilidad
operativa, operando a través de esfuerzos de erradicación, adaptándose en
tiempo real para erradicar y contener acciones para mantener el acceso a la
infraestructura de compromiso».
Se evalúa que Fire Ant comparte herramientas y se superpone con campañas
anteriores orquestadas por
UNC3886, un grupo de espionaje cibernético de China-Nexus conocido por su
focalización persistente de dispositivos de borde y tecnologías de
virtualización desde al menos 2022.
Se ha encontrado que los ataques establecen un control arraigado de los hosts
ESXi de VMware y los servidores vCenter, lo que demuestra capacidades
avanzadas para pivotar en entornos de huéspedes y omitir la segmentación de la
red al comprometer los dispositivos de red.
Otro aspecto notable es la capacidad del actor de amenaza para mantener la
resistencia operativa al adaptarse a los esfuerzos de contención, cambiar a
diferentes herramientas, utilizar backdoors para lograr
persistencia y alterar las configuraciones de la red para restablecer el
acceso a redes comprometidas.
La violación de la capa de gestión de virtualización se logra mediante la
explotación de CVE-2023-34048, una falla de seguridad conocida en el servidor vMware vCenter que ha sido
explotado por UNC3886 como un Zero-Day durante años antes de que Broadcom lo
solucione en octubre de 2023.
El actor de amenazas demostró una sólida capacidad para comprometer y
aprovechar la infraestructura de VMware mediante un enfoque estructurado:
-
Compromiso inicial de vCenter: Explota la vulnerabilidad
CVE-2023-34048 para ejecutar código remoto sin autenticación en vCenter,
obteniendo así el control de la capa de gestión de virtualización. -
Movimiento lateral a hosts ESXi y persistencia: Desde vCenter, extrae
las credenciales de la cuenta de servicio «vpxuser» y la utilizan
para acceder a los hosts ESXi conectados. Implementa múltiples puertas
traseras persistentes tanto en los hosts ESXi como en vCenter para mantener
el acceso tras reinicios. -
Acceso y explotación de máquinas virtuales invitadas: Con el control
del hipervisor, el atacante interactua directamente con las máquinas
virtuales invitadas. Manipula los procesos VMX y utiliza la vulnerabilidad
CVE-2023-20867 para ejecutar comandos a través de PowerCLI sin credenciales
de invitado, manipula las herramientas de seguridad y extrae credenciales de
instantáneas de memoria, incluyendo controladores de dominio.
«Desde vCenter, extrajeron las credenciales de la cuenta de servicio
‘VPXUSER’ y las usaron para acceder a los hosts ESXI conectados.
Implementaron múltiples puertas traseras persistentes tanto en los hosts
ESXi como en el vCenter para mantener el acceso a través de los reinicios.
El nombre de archivo de la puerta trasera, el hash y la técnica de
implementación alinearon la familia de malware Virtualpita».
También es un implante basado en Python («Autobackup.bin») que
proporciona una ejecución de comandos remotos y capacidades de descarga y
carga de archivos. Se ejecuta en backgroud como un demonio.
Al obtener acceso no autorizado al hipervisor, los atacantes aprovecharon otro
defecto en las herramientas VMware (CVE-2023-20867) para interactuar directamente con las máquinas virtuales de los invitados a
través de PowerCLI, así como interferir con el funcionamiento de las
herramientas de seguridad y las credenciales extraídas de las instantáneas de
la memoria, incluidos los controladores de dominio.
Algunos de los otros aspectos cruciales de la artesanía del actor de amenaza
son los siguientes
- Lanzar V2RAY Framework para facilitar crear un túnel
-
Implementar máquinas virtuales no registradas directamente en múltiples
hosts ESXi -
Desglosar las barreras de segmentación de red y establecer la persistencia
de los segmentos de red -
Resistir a la respuesta a incidentes y los esfuerzos de remediación al
volver a comprometer los activos y, en algunos casos, combinarse renombrando
sus cargas útiles para hacer pasar por herramientas forenses
La cadena de ataque finalmente abre un camino para que Fire Ant mantenga el
acceso persistente y encubierto desde el hipervisor hasta los sistemas
operativos huéspedes. Sygnia también describió que el adversario poseía una
«comprensión profunda» de la arquitectura y las políticas de red del entorno
objetivo para alcanzar los activos aislados de otro modo.
Fire Ant se enfoca inusualmente en permanecer sin ser detectado y deja una
huella de intrusión mínima. Esto se evidencia en los pasos tomados por los
atacantes para manipular el registro de los hosts ESXI terminando el proceso
«VMSYSLOGD«, suprimiendo efectivamente un seguimiento de auditoría y
limitando la visibilidad forense.
Los hallazgos subrayan una tendencia preocupante que involucra la orientación
persistente y exitosa de los dispositivos de la red de los actores de amenaza,
particularmente los de China, en los últimos años.
«Esta campaña subraya la importancia de la visibilidad y la detección
dentro de la capa de hipervisor e infraestructura, donde las herramientas de
seguridad de punto final tradicional son ineficaces», dijo Sygnia.
Fuente:
THN