資安研究公司Sygnia於7月25日發布報告指出,一個疑似與中國有關聯的威脅行為者正在進行大規模網路間諜活動,該活動被追蹤為「Fire Ant(火蟻)」。自2025年初以來,該組織持續利用VMware ESXi和vCenter環境的漏洞,成功滲透多個組織的虛擬化基礎設施。
Fire Ant的攻擊特點在於其深度了解目標環境,並具備強大的技術能力,能夠持續繞過網路區隔防護,成功滲透到被認為是隔離的網路區段。
攻擊手法分析
Fire Ant攻擊者利用CVE-2023-34048漏洞作為初始入侵點。這是一個VMware vCenter的緩衝區溢位漏洞,於2023年10月首次披露,但據Mandiant報告顯示,該漏洞在披露前已被中國駭客組織UNC3886作為零時差漏洞利用近兩年時間。
攻擊者透過受損的vCenter實例偽造身份驗證Cookie,並擷取服務帳戶憑證,進而以完整管理員權限存取連接的ESXi主機。
取得ESXi主機控制權後,攻擊者會篡改系統日誌以混淆威脅活動軌跡,同時部署能在系統重新啟動後持續存在的後門程式。此外,他們還利用CVE-2023-20867漏洞在客體虛擬機器中執行命令,完全無需進行身份驗證,這種攻擊手法讓他們能夠從hypervisor層直接操控客體作業系統。
Fire Ant展現了高度複雜的橫向移動能力。在網路基礎設施攻擊方面,攻擊者利用CVE-2022-1388重大漏洞攻陷F5負載平衡器,並部署基於開源專案Neo-reGeorg的網路通道Web Shell,建立加密的應用層通道以存取受害者網路的其他部分。
在區隔繞過技術上,攻擊者巧妙地利用IPv6流量繞過僅針對IPv4配置的過濾規則,這是雙協定堆疊環境中常見的安全漏洞,因為IPv6流量往往缺乏監控和過濾。同時,他們在伺服器和管理員工作站上啟用埠轉發功能,透過信任的管理員路徑和基礎設施漏洞建立多重備援橋接,確保即使在防禦者積極回應的情況下,仍能維持對隔離網路的存取能力。
與UNC3886的關聯性
Sygnia研究團隊發現,Fire Ant的工具集和VMware基礎設施攻擊手法與先前研究的中國威脅組織UNC3886高度一致。兩個組織都專門針對VMware虛擬化基礎設施進行攻擊,使用相同的漏洞組合,並展現對虛擬化環境的深度技術理解。此外,攻擊者的活躍時間和命令執行過程中觀察到的輸入錯誤模式,都與中文鍵盤配置一致,這進一步支持了兩者之間可能存在關聯的推測。
偵測指標與防護建議
組織應監控以下異常活動做為關鍵偵測指標:
- ESXi環境中'vmsyslogd'程序的異常終止
- 未經授權執行'vim-cmd'或'esxcli'命令
- ESXi主機上的異常程序執行
- 透過'vmx -x'二進位檔案執行的惡意虛擬機器
- 以'vmtoolsd.exe'作為父程序的客體命令執行
Sygnia建議組織採取全面性的防護措施來應對此類威脅。在系統強化方面,組織應立即修補VMware vCenter和ESXi實例的安全漏洞,為所有ESXi root帳戶和vCenter管理使用者設定獨特的複雜密碼,並部署特權身份管理(PIM)解決方案以輪換憑證並稽核存取活動。
在網路區隔加強方面,組織需要為ESXi主機實施額外的網路區隔,透過vCenter強制執行管理互動,應用防火牆規則限制vCenter僅能由指定資產存取,同時啟用ESXi主機的Normal Lockdown模式,防止直接SSH、HTTPS和DCUI存取,從而降低攻擊面並提升整體安全性。
此次Fire Ant活動突顯了虛擬化環境在現代資安防護中的關鍵地位。許多傳統資安產品對ESXi主機等虛擬化資產缺乏足夠的可視性,這為攻擊者提供了在偵測門檻之下活動的機會。
對於台灣企業而言,隨著虛擬化技術的廣泛應用,加強對虛擬化基礎設施的安全防護已成為刻不容緩的課題。組織應重新評估其虛擬化環境的安全態勢,確保在傳統端點防護之外,也能對虛擬化層面的威脅活動進行有效監控和防護。