火蚁行动:针对VMware虚拟化平台的隐秘网络间谍活动曝光
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
Sygnia团队发现代号为'火蚁'的网络间谍活动,自2025年起针对VMware ESXi和vCenter进行攻击,展现出精准打击能力。攻击者利用多个漏洞实施持久化和隐蔽操作,窃取凭证并规避检测,显示出高度适应性和灵活性。
🎯
关键要点
- Sygnia团队发现代号为'火蚁'的网络间谍活动,自2025年起针对VMware ESXi和vCenter进行攻击。
- 攻击者利用多种复杂隐蔽技术构建多层攻击链,展现出针对虚拟化环境的新型精准打击能力。
- 攻击者通过CVE-2023-34048漏洞入侵vCenter,获取初始访问权限后实施横向移动。
- 火蚁行动采取窃取凭证、安装未签名的VIB包和定制Python守护程序等手段作为持久后门。
- 攻击者利用CVE-2023-20867漏洞,通过PowerCLI执行命令,无需虚拟机内部凭证。
- 攻击者使用定制工具从虚拟机快照中提取凭证,并干扰终端检测与响应系统的可见性。
- 为确保长期驻留,攻击者修改启动脚本、绕过访问控制列表,并通过双网卡配置暴露内部虚拟机。
- 火蚁行动展现出自适应反制策略,攻击者会轮换工具集和伪装成取证工具保持隐蔽。
- 观察到的战术、技术和工具与中国APT组织UNC3886存在相似性,活动时间和语言特征进一步支持归因假设。
➡️
