VMware ESXi infratuzilmasiga yo‘naltirilgan murakkab VM escape hujumlari: virtual muhit qanday chetlab o‘tilmoqda?

So‘nggi vaqtlarda kiberjinoyatchilar virtualizatsiya infratuzilmalarini tobora ko‘proq nishonga olmoqda. Ayniqsa, VMware ESXi kabi keng qo‘llaniladigan gipervizor platformalariga qarshi murakkab va yashirin hujumlar keskin ko‘paygan. Kiberxavfsizlik sohasi yetakchilaridan biri — Huntress kompaniyasi yaqinda real muhitda amalga oshirilgan shunday hujumlardan birini fosh qilib, uni muvaffaqiyatli to‘xtatishga erishdi.

Mazkur hujum nol kunlik (zero-day) ekspluatlar to‘plami yordamida amalga oshirilgan bo‘lib, u bir nechta jiddiy zaifliklarni zanjir shaklida ishlatish orqali virtual mashinadan gipervizorga chiqishni (VM escape) maqsad qilgan.

Hujum qanday boshlangan?

Tergov natijalariga ko‘ra, hujumchilar dastlab SonicWall VPN qurilmasidagi buzilish orqali tarmoqqa kirish imkoniyatini qo‘lga kiritgan. Shundan so‘ng, ular Domain Admin huquqlariga ega hisobni egallab, tarmoq bo‘ylab yonlama harakat (lateral movement)ni amalga oshirgan.

Asosiy domen nazoratchisida (Primary Domain Controller) hujumchilar:

  • Advanced Port Scanner va ShareFinder kabi razvedka vositalarini ishga tushirgan,
  • Ma’lumotlarni WinRAR yordamida tayyorlab qo‘ygan,
  • Windows firewall sozlamalarini o‘zgartirib, tashqi chiqish trafiklarini bloklagan, ichki harakatlarga esa ruxsat bergan.

Bu esa hujumchilarga tarmoq ichida yashirin va nazoratli harakat qilish imkonini bergan.

MAESTRO: murakkab ekspluatlar orkestri

Hujumning eng xavfli bosqichi — MAESTRO nomi bilan tanilgan ekspluatlar to‘plamining ishga tushirilishi bo‘lgan. Ushbu toolkit taxminan 20 daqiqa ichida ishga tushirilgan va aynan shu paytda Huntress mutaxassislari uni to‘xtatishga muvaffaq bo‘lgan. Aks holda, hujum ransomware joylashtirilishi bilan yakunlanishi mumkin edi.

MAESTRO quyidagi murakkab texnik zanjir orqali ishlaydi:

  • devcon.exe yordamida VMware VMCI drayverlarini o‘chiradi;
  • KDU vositasi orqali imzosiz drayverlarni yuklab, Driver Signature Enforcement’ni chetlab o‘tadi;
  • MyDriver.sys moduli VMware Guest SDK orqali ESXi versiyasini aniqlaydi;
  • ESXi 5.1 dan 8.0 gacha bo‘lgan 155 ta build uchun mos ofsetlardan foydalanadi;
  • Bir nechta CVE zaifliklarini ketma-ket ekspluatatsiya qiladi.

Ishlatilgan muhim zaifliklar

CVE IDBahosi (CVSS)Tavsif
CVE-2025-222267.1HGFS’da out-of-bounds o‘qish orqali VMX xotirasini oshkor qilish
CVE-2025-222249.3VMCI orqali kernel darajasiga chiqish imkonini beruvchi yozish zaifligi
CVE-2025-222258.2VM sandbox’idan chiqishga olib keluvchi ixtiyoriy yozish

Ushbu zanjir orqali hujumchilar gipervizor darajasida root huquqiga ega bo‘lish imkoniyatini qo‘lga kiritgan.

Yashirin backdoor va josuslik kanali

Ekspluat muvaffaqiyatli bo‘lganidan so‘ng, shellcode yordamida VSOCKpuppet nomli yashirin backdoor joylashtirilgan. U ESXi’ning inetd xizmatini egallab, 21-port orqali root huquqida buyruqlar bajarishga imkon beradi. Eng xavflisi — aloqa VSOCK orqali amalga oshirilgani sababli, u an’anaviy tarmoq monitoring vositalari tomonidan deyarli aniqlanmaydi.

Kimlar ortida turibdi?

Tahlillar natijasida aniqlangan PDB yo‘llari va izohlar soddalashtirilgan xitoy tilida bo‘lib, masalan: “全版本逃逸–交付” (“Barcha versiyalar uchun escape – yetkazib berish”). Ayrim artefaktlar 2024-yil fevraliga tegishli bo‘lib, bu zaifliklar rasmiy e’lon qilinishidan bir yildan ko‘proq vaqt oldin ishlab chiqilganini ko‘rsatadi.

Huntress mutaxassislari ushbu hujum ortida xitoy tilida so‘zlashuvchi, yuqori resurs va tajribaga ega guruh turganiga yuqori ishonch bildirgan.

Xulosa va tavsiyalar

Mazkur hodisa bir narsani aniq ko‘rsatdi: virtual mashinalar izolyatsiyasi gipervizor zaifliklari oldida yetarli himoya emas. Ayniqsa, ESXi’ga qarshi mo‘ljallangan ransomware hujumlari fonida bu xavf yanada kuchaymoqda.

Tashkilotlarga quyidagilar qat’iy tavsiya etiladi:

  • VMware ESXi’ni zudlik bilan yangilash, EOL versiyalaridan voz kechish;
  • ESXi xostlarda lsof -a orqali VSOCK jarayonlarini monitoring qilish;
  • Imzosiz drayverlar va KDU kabi loaderlardan foydalanishni aniqlash;
  • VPN infratuzilmasini qat’iy himoyalash;
  • Gipervizor darajasida xavfsizlik monitoringini kuchaytirish.

Bugungi kunda gipervizorlar — faqat infratuzilma emas, balki kiberjinoyatchilar uchun eng qimmat nishonlardan biriga aylangan. Shu sababli, virtualizatsiya muhitini himoyalash endi tanlov emas, balki zaruratdir.