25.07.2025
1 хв
524
Хакерське угруповання Fire Ant, пов’язане з китайською кіберрозвідкою UNC3886, проводить масштабну кампанію кібершпигунства, зламано вже сотні гіпервізорів VMware ESXi і серверів vCenter. Атаки базуються на відомих вразливостях, серед яких CVE-2023-34048 та CVE-2023-20867, а метою є довготривалий прихований доступ до критичної інфраструктури організацій.
Згідно з доповіддю компанії Sygnia, атаки Fire Ant демонструють виняткову технічну складність та стійкість до виявлення. Після початкового зламу зловмисники отримували облікові дані системного акаунта vpxuser, що дозволяло їм переміщатися між ESXi-хостами і віртуальними машинами, обходячи сегментацію мережі.
Для збереження доступу встановлювались бекдори з родини VIRTUALPITA, а також Python-імплант autobackup.bin, здатний до виконання команд у фоновому режимі. Окрім цього, використовувався фреймворк V2Ray для тунелювання трафіку з гостьових ОС, створювались незареєстровані віртуальні машини, змінювалась мережева конфігурація, а журнали на ESXi видалялися шляхом завершення процесу vmsyslogd, що практично повністю знищувало сліди злому.
У деяких випадках зловмисники підміняли назви шкідливих файлів під інструменти аналізу, імітуючи роботу системних або слідчих програм.
Fire Ant — це підрозділ розширеної загрози (APT), тісно пов’язаний з UNC3886, яке вже раніше проводило атаки на edge-пристрої та віртуалізаційні системи. Вперше вразливість CVE-2023-34048 використовувалась ними як zero-day задовго до її публічного виправлення Broadcom у жовтні 2023 року. У липні 2025 року уряд Сінгапуру офіційно звинуватив UNC3886 у кібератаках на критичну інфраструктуру. У відповідь китайське посольство назвало заяви безпідставними, однак технічні докази вказують на глибоке проникнення у внутрішні мережі з використанням продуманих багаторівневих ланцюжків атак.
Атака Fire Ant є вражаючим прикладом нової хвилі шкідливих кампаній, які націлені не на звичайні робочі станції, а на ядро віртуалізаційної інфраструктури. Традиційні EDR і SIEM-рішення часто не охоплюють ESXi та vCenter, що робить їх ідеальними цілями для довготривалого перебування з мінімальним ризиком викриття. Інцидент підкреслює потребу в поглибленій видимості на рівні гіпервізора, регулярному аудиту інфраструктурних компонентів та оновленні вразливостей у реальному часі.
