Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Киберугроза VMware от группы Fire Ant

13
2 мин
Изображение: recraft Исследователи компании Sygnia сообщили о продолжающейся кибершпионской кампании, в ходе которой злоумышленники, предположительно действующие в интересах китайского государства, атакуют инфраструктуру VMware с целью получить доступ к корпоративным сетям. Активность отслеживается с начала 2025 года. Группировка, получившая условное название Fire Ant, использует многослойные и малозаметные методики, обеспечивающие проникновение в изолированные сегменты сетей. По данным Sygnia, группа последовательно нацеливается на виртуализированные среды и сетевую инфраструктуру, особенно на решения VMware. Именно эти системы злоумышленники используют как точку входа для закрепления, горизонтального перемещения и долговременного присутствия в сетях пострадавших организаций. В отчёте, опубликованном 24 июля, Sygnia подчёркивает, что методы Fire Ant основаны на инфраструктурных векторах и позволяют действовать вне поля зрения традиционных средств защиты конечных точек. Это демонстриру

Изображение: recraft

Исследователи компании Sygnia сообщили о продолжающейся кибершпионской кампании, в ходе которой злоумышленники, предположительно действующие в интересах китайского государства, атакуют инфраструктуру VMware с целью получить доступ к корпоративным сетям. Активность отслеживается с начала 2025 года. Группировка, получившая условное название Fire Ant, использует многослойные и малозаметные методики, обеспечивающие проникновение в изолированные сегменты сетей.

По данным Sygnia, группа последовательно нацеливается на виртуализированные среды и сетевую инфраструктуру, особенно на решения VMware. Именно эти системы злоумышленники используют как точку входа для закрепления, горизонтального перемещения и долговременного присутствия в сетях пострадавших организаций.

В отчёте, опубликованном 24 июля, Sygnia подчёркивает, что методы Fire Ant основаны на инфраструктурных векторах и позволяют действовать вне поля зрения традиционных средств защиты конечных точек. Это демонстрирует наличие серьёзных уязвимостей в стандартных инструментах мониторинга и безопасности.

По признакам — характеру используемых инструментов, прицелу на инфраструктуру VMware и почерку атак — Fire Ant соотносится с китайской APT-группировкой UNC3886, ранее описанной Mandiant. Кроме того, Sygnia отмечает, что временные интервалы активности злоумышленников и характер опечаток при выполнении команд соответствуют раскладке китайской клавиатуры, что косвенно подтверждает региональную принадлежность участников атак.

В ходе кампании Fire Ant использовала уязвимость CVE-2023-34048 в VMware vCenter — ошибку записи за пределы допустимой области памяти — для удалённого исполнения кода без аутентификации. Это дало злоумышленникам полный контроль над виртуализационным уровнем.

После этого атакующие установили несколько бэкдоров на хосты VMware ESXi и на сам vCenter, чтобы сохранять доступ даже после перезагрузки. Получив контроль над гипервизором, они напрямую взаимодействовали с гостевыми виртуальными машинами, выполняли команды через PowerCLI без учётных данных, модифицировали защитные средства и извлекали учётные данные из дампов памяти.

Оригинал публикации на сайте CISOCLUB: ""Китайские кибершпионы" проводят длительную кампанию против VMware".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Бизнес и финансы
1,13 млн интересуются