近年来,随着信息技术的飞速发展,企业对虚拟化技术的依赖程度日益加深。VMware作为虚拟化领域的领导者,其ESXi主机和vCenter服务器被广泛应用于企业的核心数据中心和云环境中。然而,虚拟化技术的广泛应用也给网络安全带来了新的挑战。最近一个名为“火蚁(Fire Ant)”的高级威胁组织通过一系列精心设计的攻击手段,成功利用VMware ESXi和vCenter环境中的多个安全漏洞,展开了大规模且持续的网络入侵活动,严重威胁着全球范围内相关企业的网络安全。 火蚁是一支被认为与中国相关联的网络间谍集团,与已知的UNC3886组织存在工具和攻击目标上的重叠。自2022年以来,他们持续针对边缘设备和虚拟化技术发起高级攻击,展现出了卓越的技术能力和极强的隐蔽性。
2025年,安全公司Sygnia发布报告揭示,该集团通过利用VMware vCenter服务器中的CVE-2023-34048漏洞展开攻击,这一漏洞曾被UNC3886作为零日漏洞使用多年,直到2023年10月Broadcom发布补丁才得以修复。 攻击链的起点通常是入侵vCenter服务器,火蚁攻击者通过该漏洞提取包括“vpxuser”服务账户在内的关键凭证,从而访问和控制相关联的ESXi主机。随后,攻击者在ESXi主机和vCenter服务器上部署多重持久性后门,采用VIRTUALPITA恶意软件家族特征的载体,确保即使在系统重启后仍能保持访问权限。此外,攻击者还植入基于Python的“autobackup.bin”进程,该程序作为守护进程运行,支持远程命令执行以及文件上传下载,极大便利了攻击者对环境的远程控制和数据窃取。 火蚁的攻击手法不仅局限于主机层面,攻击者还利用CVE-2023-20867漏洞,针对VMware Tools组件实现对虚拟机内客体系统的远程操作能力。他们使用PowerCLI工具绕过虚拟网络隔离,直接干预虚拟机内部环境,甚至截取内存快照中的凭证信息,包括域控制器的重要账号凭据。
这种攻击方式打破了网络分段防线,从而扩大了攻击的深度和广度,给受害组织带来了极大安全隐患。 火蚁为了实现长期潜伏与隐蔽操作,还利用了诸如V2Ray代理框架实现虚拟机网络隧道,直接在多个ESXi主机上部署未登记的虚拟机,绕过传统的安全审计。同时,他们通过利用CVE-2022-1388漏洞攻陷F5负载均衡设备,部署Web后门,在不同网络分段之间横向移动,维持跨网络的持久攻击姿态。攻击者面对应急响应和隔离措施时迅速调整策略,切换工具,植入备用后门,甚至伪装恶意Payload以模仿取证工具,混淆安全分析,提高防御绕过难度。 尤为值得注意的是,火蚁攻击者极度重视隐蔽性,常通过终止ESXi主机的系统日志服务进程“vmsyslogd”来抹除审计痕迹,严重削弱了事件响应团队的调查能力。传统终端安全和网络检测工具对虚拟化基础设施的可见性有限,加之这些关键设备缺少完善的监控解决方案,使得攻击者能够在环境中长时间保持低调的存在,获得长期控权。
火蚁攻击行为表明,现代网络攻击已不再仅仅聚焦于传统终端设备,虚拟化层及网络边缘设备成为了新的高价值目标。企业在加固网络安全时,必须将虚拟化环境和关键基础设施纳入全面的检测和响应规划中,采用先进的威胁情报融合和行为分析技术,加强对ESXi主机、vCenter及相关网络设备的安全监控。 此外,及时应用官方安全补丁,特别是针对已知高危漏洞的补丁,应成为企业安全管理的核心要求。加强对服务账户及管理凭证的保护,实施最小权限原则,严格控制对虚拟化管理环境的访问权限,也是减少攻击面和风险的重要手段。结合多因素身份验证和细粒度访问控制,可以有效抵御凭证窃取带来的攻击威胁。 网络安全社区和安全厂商需持续关注火蚁及UNC3886等高级持续威胁组织的动向,分享攻击样本和行为特征,构建共享防御生态。
跨行业合作和信息共享对于快速识别和阻止此类复杂攻击至关重要。政府部门对关键基础设施安全的重视也在不断加强,相关法规和安全标准日趋完善,推动企业提升安全意识和防护能力。 总之,火蚁利用VMware关键漏洞对虚拟化环境的攻破,揭示了网络安全面临的严峻态势和复杂挑战。企业应当认清虚拟化平台的安全重要性,强化技术和管理层面的防御措施,从根本上提高对高级持续威胁的应对能力,确保业务系统和数据资产的安全稳定运行。面对无孔不入的网络威胁,积极采用先进的检测响应技术,构筑多层次立体防御体系,是守护数字未来的关键所在。随着虚拟化技术的持续发展和广泛应用,防范火蚁等攻击组织的威胁,将成为保障数字经济和国家安全的重要课题。
。
