Grupo Hacker 'Fire Ant' Explora vulnerabilidade no VMware e compromete diversos ambientes virtuais

Uma campanha prolongada e sofisticada de ciberespionagem, atribuída a um grupo hacker batizado de "Fire Ant", está ativamente mirando a infraestrutura de virtualização e de rede de organizações em escala global. A atividade, observada este ano, foi projetada para se infiltrar e manter controle sobre ambientes VMware ESXi, vCenter e dispositivos de rede.

A revelação vem de um novo relatório publicado hoje pela empresa de segurança cibernética Sygnia. "O invasor utilizou combinações de técnicas sofisticadas e furtivas, criando cadeias de ataque multicamadas para facilitar o acesso a ativos de rede restritos e segmentados dentro de ambientes presumivelmente isolados", afirma o relatório.

A Sygnia destaca a resiliência e a habilidade do grupo: "O invasor demonstrou um alto grau de persistência e manobrabilidade operacional, resistindo aos esforços de erradicação e adaptando-se em tempo real às ações de contenção para manter o acesso à infraestrutura comprometida."

O grupo Fire Ant compartilha ferramentas e alvos com campanhas anteriores orquestradas pelo UNC3886, um conhecido grupo de ciberespionagem ligado à China, notório por seus ataques persistentes contra dispositivos de borda e tecnologias de virtualização desde, pelo menos, 2022.

A porta de entrada do Fire Ant para a camada de gerenciamento de virtualização é a exploração da vulnerabilidade CVE-2023-34048. Esta é uma falha de segurança conhecida no VMware vCenter Server que, crucialmente, foi explorada como "zero-day" (ou seja, antes que houvesse uma correção) pelo grupo UNC3886 durante anos, até ser finalmente corrigida pela Broadcom em outubro de 2023.

"A partir do vCenter, eles extraíram as credenciais da conta de serviço 'vpxuser' e as usaram para acessar os hosts ESXi conectados", observa a Sygnia. "Eles implantaram múltiplos backdoors persistentes tanto nos hosts ESXi quanto no vCenter para manter o acesso mesmo após reinicializações." O nome do arquivo do backdoor, seu hash e a técnica de implantação estão alinhados com a família de malware conhecida como VIRTUALPITA.

Além disso, os hackers instalam um implante baseado em Python chamado "autobackup.bin", que fornece capacidade de execução remota de comandos, bem como download e upload de arquivos, operando silenciosamente em segundo plano como um serviço (daemon).

Uma vez com acesso não autorizado ao hipervisor (a camada que gerencia as máquinas virtuais), os invasores exploram outra falha, desta vez no VMware Tools (CVE-2023-20867), para interagir diretamente com as máquinas virtuais (VMs) convidadas usando PowerCLI. A partir daí, eles conseguem interferir no funcionamento de ferramentas de segurança e extrair credenciais de snapshots de memória, incluindo as de controladores de domínio – o cérebro de uma rede corporativa.

Outras táticas avançadas do grupo incluem:

• Túneis de Rede: Uso do framework V2Ray para criar túneis de rede e exfiltrar dados das VMs.

• VMs Fantasmas: Implantação de máquinas virtuais não registradas diretamente nos hosts ESXi para operar fora do radar.

• Quebra de Segmentação: Derrubada das barreiras de segmentação de rede para se mover lateralmente e estabelecer persistência em diferentes segmentos.

• Evasão e Disfarce: Resistência ativa aos esforços de resposta a incidentes, recomprometendo ativos e, em alguns casos, renomeando seus malwares para se passarem por ferramentas forenses legítimas, confundindo as equipes de defesa.

O grupo Fire Ant demonstra um foco incomum em permanecer sem ser detectado, deixando uma pegada de intrusão mínima. Uma evidência clara disso é a manipulação dos logs nos hosts ESXi, onde os invasores encerram o processo "vmsyslogd", suprimindo efetivamente a trilha de auditoria e limitando drasticamente a visibilidade forense.

"Esta campanha ressalta a importância da visibilidade e detecção dentro do hipervisor e da camada de infraestrutura, onde as ferramentas tradicionais de segurança de endpoint são ineficazes", concluiu a Sygnia. "Os sistemas visados, como hosts ESXi, servidores vCenter e balanceadores de carga F5, raramente são integrados aos programas padrão de detecção e resposta. Esses ativos carecem de soluções adequadas e geram telemetria limitada, tornando-os pontos de apoio ideais e de longo prazo para operações furtivas."

Via - THN