Группа Fire Ant ведет целенаправленную кибершпионскую кампанию, атакуя виртуализацию и сетевые устройства. Активность зафиксирована в 2023 году, причем методы и цели перекликаются с китайской группировкой UNC3886, действующей с 2022 года.
Первоначальное проникновение осуществлялось через уязвимость CVE-2023-34048 в VMware vCenter. Патч от Broadcom выпущен в октябре 2023-го, но UNC3886 эксплуатировали её как zero-day до фиксации. Злоумышленники похищали учетные данные службы
Для закрепления в системе использовался бэкдор VIRTUALPITA, сохраняющий доступ к ESXi-хостам после перезагрузки. Второй инструмент — имплант на Python autobackup.bin, маскирующийся под системный процесс. Он обеспечивал удаленное выполнение команд и передачу файлов.
Через уязвимость CVE-2023-20867 в VMware Tools атакующие взаимодействовали с гостевыми ВМ. С помощью PowerCLI извлекались данные из снимков памяти, включая пароли контроллеров домена. Для скрытности завершался процесс vmsyslogd, что блокировало логирование на ESXi.
Fire Ant демонстрирует глубокое понимание инфраструктуры. Скомпрометировав F5-балансировщики и периферийные устройства, группировка обходила сегментацию сети. При попытках ликвидации угрозы быстро переключались на альтернативные инструменты, сбрасывали резервные бэкдоры и меняли конфигурации сети.
Правительство Сингапура публично связало UNC3886 (а значит, и Fire Ant) с атаками на критическую инфраструктуру. Координационный министр национальной безопасности К. Шанмугам назвал операции «серьезной угрозой безопасности». Посольство КНР отвергло обвинения, заявив о «безосновательной клевете» и сославшись на 270 000+ кибератак против систем Азиатских зимних игр в феврале 2023 года.
Компания Sygnia, обнаружившая кампанию, подчеркивает: Fire Ant фокусируется на VMware ESXi, vCenter и F5-устройствах, где стандартные средства защиты часто отсутствуют. Гипервизорный слой стал «слепой зоной» для традиционных решений. Йоав Мазор, глава отдела реагирования на инциденты Sygnia, предупреждает: угроза выходит за пределы Азиатско-Тихоокеанского региона.
Группировка адаптирует инструменты под среду, минимизирует следы взлома и сохраняет доступ даже после реагирования SOC. Это требует постоянного мониторинга гипервизоров и сетевых устройств, которые реже проверяются на компрометацию.
Изображение носит иллюстративный характер
Первоначальное проникновение осуществлялось через уязвимость CVE-2023-34048 в VMware vCenter. Патч от Broadcom выпущен в октябре 2023-го, но UNC3886 эксплуатировали её как zero-day до фиксации. Злоумышленники похищали учетные данные службы
vpxuser, получая контроль над vCenter. Для закрепления в системе использовался бэкдор VIRTUALPITA, сохраняющий доступ к ESXi-хостам после перезагрузки. Второй инструмент — имплант на Python autobackup.bin, маскирующийся под системный процесс. Он обеспечивал удаленное выполнение команд и передачу файлов.
Через уязвимость CVE-2023-20867 в VMware Tools атакующие взаимодействовали с гостевыми ВМ. С помощью PowerCLI извлекались данные из снимков памяти, включая пароли контроллеров домена. Для скрытности завершался процесс vmsyslogd, что блокировало логирование на ESXi.
Fire Ant демонстрирует глубокое понимание инфраструктуры. Скомпрометировав F5-балансировщики и периферийные устройства, группировка обходила сегментацию сети. При попытках ликвидации угрозы быстро переключались на альтернативные инструменты, сбрасывали резервные бэкдоры и меняли конфигурации сети.
Правительство Сингапура публично связало UNC3886 (а значит, и Fire Ant) с атаками на критическую инфраструктуру. Координационный министр национальной безопасности К. Шанмугам назвал операции «серьезной угрозой безопасности». Посольство КНР отвергло обвинения, заявив о «безосновательной клевете» и сославшись на 270 000+ кибератак против систем Азиатских зимних игр в феврале 2023 года.
Компания Sygnia, обнаружившая кампанию, подчеркивает: Fire Ant фокусируется на VMware ESXi, vCenter и F5-устройствах, где стандартные средства защиты часто отсутствуют. Гипервизорный слой стал «слепой зоной» для традиционных решений. Йоав Мазор, глава отдела реагирования на инциденты Sygnia, предупреждает: угроза выходит за пределы Азиатско-Тихоокеанского региона.
Группировка адаптирует инструменты под среду, минимизирует следы взлома и сохраняет доступ даже после реагирования SOC. Это требует постоянного мониторинга гипервизоров и сетевых устройств, которые реже проверяются на компрометацию.
