L’actualité provient de Sygnia et traite d’une campagne de cyber-espionnage sophistiquée nommée Fire Ant. Cette campagne cible spécifiquement les infrastructures de virtualisation telles que VMware ESXi et vCenter, en utilisant des techniques au niveau de l’hyperviseur pour échapper à la détection et maintenir un accès persistant.
La campagne a exploité la vulnérabilité CVE-2023-34048 pour compromettre initialement vCenter, permettant l’extraction de vpxuser credentials pour accéder à ESXi. Des portes dérobées persistantes ont été déployées via des VIBs non signés et des fichiers local.sh modifiés. De plus, la vulnérabilité CVE-2023-20867 a été utilisée pour exécuter des commandes non authentifiées de l’hôte vers l’invité.
Les techniques sophistiquées incluent l’extraction de credentials par capture de mémoire, la manipulation de l’EDR via PowerCLI, le déploiement de VMs malveillantes, et le contournement de la segmentation réseau par le biais de load balancers F5 et de serveurs web compromis. Un rootkit Medusa a été déployé sur des points de pivot Linux.
Pour échapper à la détection, les attaquants ont désactivé le daemon syslog et utilisé le tunneling IPv6 pour contourner les règles de filtrage IPv4 uniquement. Cette campagne met en lumière des lacunes critiques dans les piles de sécurité conventionnelles et souligne le besoin urgent de visibilité dans les couches d’infrastructure de virtualisation.
Cet article est une analyse de menace et vise à informer sur les méthodes avancées utilisées par le groupe UNC3886, soulignant l’importance de renforcer la sécurité des infrastructures de virtualisation.
🧠 TTPs détectés
TTP
Exploitation de vulnérabilités (CVE-2023-34048, CVE-2023-20867), Extraction de credentials, Déploiement de portes dérobées via VIBs non signés, Modification de fichiers local.sh, Exécution de commandes non authentifiées, Manipulation de l’EDR via PowerCLI, Déploiement de VMs malveillantes, Contournement de la segmentation réseau, Déploiement de rootkits, Désactivation du daemon syslog, Tunneling IPv6
🔗 Source originale : https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage/