كشفت شركة الأمن السيبراني Sygnia عن حملة تجسس إلكتروني متقدمة شنتها مجموعة Fire Ant، استهدفت بيئات المحاكاة الافتراضية والبنية التحتية الشبكية عبر استغلال ثغرات أمنية في خوادم VMware ESXi وأنظمة vCenter. الحملة التي وُصفت بأنها معقدة وطويلة الأمد، أظهرت قدرة المهاجمين على تنفيذ سلاسل هجوم متعددة الطبقات لتجاوز أنظمة التقسيم الشبكي والوصول إلى أصول معزولة.
أوضحت Sygnia أن المهاجمين أظهروا مستوى عالياً من الإصرار والتكيف، واستمروا في عملياتهم رغم جهود الإزالة والاستجابة، معتمدين على أدوات بديلة وأبواب خلفية لضمان استمرار السيطرة على البيئة المخترقة.
وأشارت الشركة إلى تشابه في الأدوات والأساليب مع الحملات السابقة لمجموعة UNC3886 المرتبطة بالصين، والتي استهدفت تقنيات المحاكاة الافتراضية منذ عام 2022.
أدوات متقدمة واستغلال دقيق للثغرات
اعتمدت مجموعة Fire Ant على ثغرة CVE-2023-34048 في vCenter Server للحصول على بيانات اعتماد حساب الخدمة “vpxuser”، مما أتاح لها الوصول إلى خوادم ESXi المتصلة. زرع المهاجمون أبواباً خلفية دائمة على الخوادم والخوادم الإدارية، تضمنت برمجية ضارة من عائلة VIRTUALPITA وملفات Python خبيثة لتشغيل أوامر عن بُعد وتحميل وتنزيل الملفات.
كما استغل المهاجمون ثغرة أخرى في VMware Tools (CVE-2023-20867) للتفاعل مع الأجهزة الافتراضية الضيف باستخدام أدوات PowerCLI، إضافة إلى استخراج بيانات اعتماد من لقطات الذاكرة، بما في ذلك بيانات وحدات التحكم في النطاقات (Domain Controllers).
وأظهرت الهجمات فهماً عميقاً لبنية الشبكات المستهدفة، إذ قام المهاجمون بنشر آلات افتراضية غير مسجلة، واستخدموا إطار V2Ray لنقل البيانات بين الضيوف، واستغلوا ثغرة CVE-2022-1388 لاختراق موزعات الحمل من نوع F5 وتحقيق استمرارية الوصول عبر قطاعات مختلفة من الشبكة.
محو آثار التسلل وتفادي الرصد
أظهرت المجموعة تركيزاً غير اعتيادي على البقاء دون كشف، إذ قامت بتعطيل خدمات تسجيل السجلات على خوادم ESXi، بما في ذلك عملية “vmsyslogd”، مما أدى إلى تقليل إمكانية التتبع والتحليل الجنائي.
وأكدت Sygnia أن هذه الحملة تسلط الضوء على أهمية مراقبة طبقة المحاكاة الافتراضية، التي غالباً ما تكون خارج نطاق أدوات الحماية التقليدية ولا تولد مؤشرات مراقبة كافية، ما يجعلها نقطة ضعف استراتيجية أمام حملات التجسس المتقدمة.
وفي السياق ذاته، أعلنت سنغافورة الأسبوع الماضي أن مجموعة UNC3886 استهدفت بنية تحتية وطنية حيوية، دون تقديم مزيد من التفاصيل، فيما نفت السفارة الصينية صحة هذه الاتهامات ووصفتها بـ”المغلوطة وغير المدعومة”.
