Fire Ant — гипервизорная APT-угроза👽
С начала 2025 года Sygnia расследует масштабную шпионскую кампанию, нацеленную на инфраструктурный уровень:
• VMware vCenter
• VMware ESXi
• Сетевые устройства (F5, Linux pivot-хосты)
Главный вектор — эксплуатация уязвимостей в гипервизоре и инфраструктуре. Это позволяет атакующим:
• обойти EDR/AV
• двигаться между сегментами сети
• сохранять доступ после зачистки
Этапы атаки ⌨️
1. Первичный доступ
CVE‑2023‑34048 (vCenter RCE)
• Атака через DCERPC → OOB Write → RCE без аутентификации
• Краш vmdird зафиксирован до начала активности
Подделка сессии в vCenter UI
• Скрипт vCenter_GenerateLoginCookie.py
• Использует сертификаты, извлечённые с хоста
• Позволяет получить админ-доступ без логина или логов аутентификации (сессия создаётся через поддельный cookie, это критично)

Кража учётных данных vpxuser
• Служебный аккаунт с root-доступом к ESXi
• Не отключается Lockdown Mode’ом

2. Устойчивость в инфраструктуре
Backdoor в vCenter (ksmd)
• Путь: /usr/libexec/setconf/ksmd
• TCP порт 7475
• Позволяет выполнять команды и передавать файлы
• Связан с семейством VIRTUALPITA
Malicious VIBs на ESXi
• Установлены вручную с флагом --force
• Прописывают исполняемые файлы в /bin, скрипты в rc.local.d/
• Бесподписные, уровень доверия — "partner"
Backdoor autobackup.bin
• Прописывается в /etc/rc.local.d/local.sh для автозапуска
• Запускает web-сервер на порту 8888
• Поддерживает RCE, загрузку и скачивание файлов
• Совместим с Python 2/3, работает как background-демон через double-fork и редирект stdout/stderr в /dev/null
Отключение логов (vmsyslogd)
• Убийство процесса лишает ESXi логирования
• Нет ни локальных, ни удалённых журналов

3. Атаки на гостевые ВМ с гипервизора
CVE‑2023‑20867 (VMware Tools)
• Позволяет выполнять команды внутри ВМ без логина
• Используется PowerCLI и Invoke-VMScript
• Команды исполняются через vmtoolsd.exe
Патчинг VMX-процесса через ELF tools
• Модификация памяти ESXi-хоста
• Отключает необходимость аутентификации гостя
Дамп хэшей из памяти ВМ
• Snapshot с vim-cmd, затем анализ .vmem с UpdateApp (Volatility fork)
• Извлекаются NTLM-хэши, в том числе с DC
EDR tampering (updatelog.exe)
• Вызывается через vmtoolsd.exe
• Нарушает работу SentinelOne
Нарушает видимость процессов у EDR без его остановки — агент остаётся активен, но ничего не видит
V2Ray туннель (update.exe)
• Устанавливает прослушку на TCP 58899
• Используется как C2 и обход прокси/фильтров
Незарегистрированные ВМ (vmx -x)
• Прямой запуск VM без vCenter
• MAC spoofing → не отслеживается админкой
• Только через L2-инвентаризацию можно отследить

4. Сетевая экспансия и туннелирование
F5 Load Balancer: CVE‑2022‑1388
• Выполнение команд без логина
• Webshell в /xui/common/css/css.php
Туннель Neo-reGeorg
• Устанавливается на внутренних веб-серверах
• Создаёт HTTPS-туннель через firewall
Medusa Rootkit на Linux pivot-хостах
• Скрытый shell
• Логгирует SSH-пароли в remote.txt
netsh portproxy на admin-хостах
• Проброс портов к системам
• Используется для обхода ACL и firewall
IPv6 bypass
• В большинстве сетей IPv6 не фильтруется
• Атакующий использует этот канал для туннелей

5. Устойчивость к зачистке
• Повторный вход после очистки
• Переименование малвари под forensic-инструменты
• Отслеживание действий защитников и адаптация
• Только одновременная, скоординированная зачистка эффективна

🗺Детект и защита
Что искать
• Внезапное отключение vmsyslogd
• Старт процессов от vmtoolsd.exe внутри ВМ
• Новые бинарники в /tmp, /scratch, /bin, /etc
• ВМ без регистрации в vCenter (через vmx -x)
• ВМ активна, но EDR не отдаёт телеметрию
🔐Как защититься
• Патчить: vCenter, ESXi, F5, VMware Tools
• Включить Lockdown Mode и Secure Boot
• Доступ к vCenter — только через jump/PAM
• Регулярная ротация паролей, хранение в vault
• Включить syslog и форвардить логи централизованно

🔗 https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage
🦔 THF