Chiến dịch gián điệp mạng Fire Ant đang gây ra mối lo ngại sâu sắc trong cộng đồng an ninh mạng toàn cầu. Được theo dõi bởi công ty an ninh mạng Sygnia, hoạt động tinh vi này nhắm mục tiêu vào cơ sở hạ tầng ảo hóa và mạng lưới, đặc biệt là các hypervisor VMware ESXi và máy chủ quản lý vCenter, cùng với các thiết bị mạng. Đây là một ví dụ điển hình về việc khai thác lỗ hổng CVE để đạt được mục tiêu gián điệp.
Mô tả Tổng quan về Chiến dịch Fire Ant
Các tác nhân đe dọa đằng sau Fire Ant sử dụng chuỗi tấn công đa lớp, kết hợp các cơ chế duy trì quyền truy cập nâng cao với các kỹ thuật tàng hình.
Điều này cho phép chúng xâm nhập vào các mạng phân đoạn và duy trì quyền truy cập ngay cả khi có nỗ lực loại bỏ đang diễn ra. Khả năng thích ứng của chúng là đặc điểm nổi bật của chiến dịch này.
Khai thác Lỗ hổng CVE ban đầu và Thiết lập Quyền kiểm soát
Kẻ tấn công thường đạt được quyền truy cập ban đầu bằng cách khai thác các lỗ hổng CVE đã biết. Một trong số đó là CVE-2023-34048.
Lỗ hổng này cho phép thực thi mã từ xa không xác thực trên vCenter. Sau khi có quyền truy cập, chúng trích xuất thông tin đăng nhập vpxuser để di chuyển ngang sang các máy chủ ESXi.
Tiếp theo, các backdoor bền bỉ được triển khai. Một ví dụ là biến thể mã độc VIRTUALPITA, được ngụy trang dưới dạng nhị phân ksmd và lắng nghe trên cổng TCP 7475.
Cơ chế Duy trì Quyền truy cập
Các công cụ này cho phép thực thi lệnh từ xa và các hoạt động tệp. Chúng duy trì quyền truy cập ngay cả sau khi khởi động lại hệ thống.
Điều này được thực hiện thông qua việc cài đặt các VIB (vSphere Installation Bundles) không có chữ ký với mức độ chấp nhận bắt buộc. Đồng thời, chúng sửa đổi các tập lệnh /etc/rc.local.d/local.sh để khởi chạy các backdoor Python dựa trên HTTP trên cổng 8888.
# Ví dụ về sửa đổi /etc/rc.local.d/local.sh
# Thêm lệnh khởi chạy backdoor Python
python /tmp/backdoor.py &Kỹ thuật Né tránh và Thu thập Thông tin
Các đối tượng vận hành Fire Ant cũng can thiệp vào việc ghi nhật ký ESXi. Chúng chấm dứt tiến trình vmsyslogd, cắt đứt các dấu vết kiểm toán và gây khó khăn cho việc phân tích pháp y.
Chuyển đổi sang Máy ảo Khách (Guest VMs)
Từ quyền kiểm soát hypervisor, chúng chuyển sang các máy ảo khách bằng cách sử dụng CVE-2023-20867 trong VMware Tools. Điều này cho phép chúng tiêm lệnh thông qua cmdlet Invoke-VMScript của PowerCLI.
Lệnh này được định tuyến qua vmtoolsd.exe mà không cần xác thực. Điều này cho phép thực thi PowerShell đã mã hóa và chuyển hướng đầu ra đến các tệp tạm thời trong C:\Windows\TEMP.
# Ví dụ lệnh Invoke-VMScript
Invoke-VMScript -VM 'GuestVM' -ScriptText "powershell.exe -EncodedCommand base64_encoded_command" -HostUser 'root' -HostPassword 'password'Thu thập Thông tin Xác thực
Việc thu thập thông tin xác thực bao gồm tạo ảnh chụp nhanh bộ nhớ bằng vim-cmd vmsvc/snapshot.create. Sau đó, các hàm băm NTLM và khóa bí mật LSA được trích xuất bằng công cụ dựa trên Volatility có tên UpdateApp.
Sau khi hoàn thành, ảnh chụp nhanh được xóa để xóa dấu vết. Điều này cho thấy sự tỉ mỉ trong việc che giấu hoạt động khai thác lỗ hổng CVE.
# Lệnh tạo snapshot
vim-cmd vmsvc/snapshot.create <vmid> <snapshotName> <snapshotDescription> <includeMemory> <quiesce>Các Chiến thuật Bổ sung
Các chiến thuật khác bao gồm triển khai updatelog.exe để can thiệp vào các tác nhân EDR như SentinelOne.
Chúng cũng cài đặt V2Ray để tạo đường hầm mã hóa trên cổng 58899 và khởi chạy các máy ảo giả mạo thông qua /bin/vmx -x, bỏ qua việc đăng ký vCenter với địa chỉ MAC giả mạo nằm ngoài phạm vi tiêu chuẩn.
Mở rộng Tấn công sang Thiết bị Mạng
Fire Ant mở rộng phạm vi tấn công bằng cách xâm phạm các thiết bị mạng. Ví dụ điển hình là các bộ cân bằng tải F5 thông qua CVE-2022-1388.
Chúng triển khai webshells tới /usr/local/www/xui/common/css/ để kết nối các mạng phân đoạn. Ngoài ra, Neo-reGeorg được tận dụng trên các máy chủ web dựa trên Java để tạo đường hầm ở lớp ứng dụng.
Chuyển đổi sang Hệ thống Linux
Trên các điểm chuyển đổi Linux, một biến thể của Medusa rootkit cung cấp các shell tương tác và ghi nhật ký thông tin đăng nhập SSH vào các tệp remote.txt.
Kẻ tấn công vượt qua các ACL (Access Control Lists) bằng cách sử dụng netsh portproxy trên các điểm cuối đáng tin cậy. Chúng cũng phơi bày tài sản thông qua các giao diện công cộng và khai thác IPv6 để né tránh các bộ lọc IPv4 trong các thiết lập dual-stack.
Tính Bền bỉ và Mối liên hệ với UNC3886
Fire Ant thể hiện khả năng phục hồi hoạt động đáng kể. Chúng thích ứng theo thời gian thực để chống lại các nỗ lực ngăn chặn.
Điều này bao gồm việc xoay vòng bộ công cụ, đổi tên các tệp nhị phân để bắt chước các công cụ pháp y và tái xâm nhập thông qua các đường dẫn dự phòng sau khi hệ thống được dọn dẹp.
Các điểm trùng lặp về kỹ thuật, bao gồm các tệp nhị phân cụ thể và các mẫu khai thác, phù hợp chặt chẽ với UNC3886. Đây là một nhóm từng được liên kết với các chỉ số ngôn ngữ Trung Quốc như lỗi bố cục bàn phím và giờ hoạt động.
Theo báo cáo của Sygnia (tham khảo thêm tại Sygnia Blog), mặc dù Sygnia tránh đưa ra kết luận dứt khoát về tác giả, các chiến thuật của Fire Ant phản ánh các chiến dịch tập trung vào cơ sở hạ tầng của UNC3886, nhấn mạnh các lỗ hổng CVE trong các lớp hypervisor nơi bảo mật điểm cuối thường yếu kém.
Biện pháp Phòng ngừa và Ứng phó
Để chống lại các mối đe dọa như Fire Ant, các tổ chức phải tăng cường khả năng hiển thị của ESXi.
Điều này có thể thực hiện thông qua việc chuyển tiếp nhật ký hệ thống (syslog) đến các máy chủ tập trung. Đồng thời, cần giám sát chặt chẽ các hành vi bất thường.
Giám sát và Phát hiện các Dấu hiệu Bất thường
- Chấm dứt tiến trình
vmsyslogdmột cách bất thường. - Thực thi
vim-cmdhoặcesxclitrái phép. - Sự hiện diện của các tệp nhị phân ELF bất thường.
- Khởi chạy các máy ảo giả mạo bằng
vmx -x. - Các tiến trình được tạo ra bởi
vmtoolsd.exe.
Các Biện pháp Củng cố Hệ thống (Hardening)
Việc củng cố hệ thống bao gồm cập nhật bản vá kịp thời cho tất cả các phần mềm và hệ điều hành. Kẻ tấn công thường khai thác các lỗ hổng CVE đã biết nhưng chưa được vá.
Ngoài ra, cần thực thi việc sử dụng mật khẩu duy nhất và luân chuyển thông qua các giải pháp PIM (Privileged Access Management).
Kích hoạt Lockdown Mode và Secure Boot để chặn các VIB không có chữ ký là một biện pháp quan trọng khác. Đồng thời, hạn chế quyền truy cập vào các máy chủ nhảy (jump servers) cũng góp phần nâng cao bảo mật.
Những biện pháp này giúp giải quyết các điểm mù trong cơ sở hạ tầng đáng tin cậy, ngăn chặn việc bỏ qua phân đoạn và đảm bảo việc loại bỏ phối hợp để ngăn chặn các tác nhân kiên cường như Fire Ant tìm cách chiếm quyền điều khiển hệ thống.
