“Fire Ant” APT guruhi — VMware muhitiga tahdid solayotgan josuslik operatsiyasi

2025-yil boshidan boshlab “Fire Ant” nomli xakerlar guruhi VMware tizimlariga qarshi katta ko‘lamli josuslik hujumlarini boshladi. Bu guruh xavfsizlik bo‘yicha eng xavfli tahdidlar qatoriga kiritilgan.

Mazkur tahdid ESXi xostlari, vCenter serverlari hamda virtual tarmoq qurilmalari orqali ichki infratuzilmalarga chuqur kirib borish, u yerda maxfiy nazoratni o‘rnatish va aniqlanmasdan uzoq muddat faoliyat yuritish imkonini beradi. Xavotirli tomoni shundaki, ular tomonidan qo‘llanilayotgan texnikalar ko‘plab an’anaviy antivirus yoki endpoint xavfsizlik tizimlari tomonidan aniqlanmaydi.

Asosiy tahdidlar: Fire Ant qanday ishlaydi?

🧨 1. VMware zaifliklaridan foydalanish
Fire Ant guruhi asosan quyidagi xavfli zaifliklar orqali tizimlarga kiradi:

  • CVE-2023-34048 — vCenter serverdagi DCERPC protokolidagi xatolik orqali autentifikatsiyasiz kod bajarish (RCE) mumkin.
  • CVE-2023-20867 — VMware Tools orqali hostdan virtual mashinaga buyrug‘ yuborish imkonini beradi.
  • CVE-2022-1388 — F5 Load Balancer qurilmalari orqali tarmoq ko‘priklari va webshell joylash.

🧪 2. Kirishni saqlab qolish (Persistence)

  • Soxta VIB paketlari (vSphere Installation Bundle) o‘rnatiladi, ular imzo tekshiruvini chetlab o‘tadi.
  • Maxsus backdoor dasturlar, masalan autobackup.bin, tizimda avtomatik ishga tushiriladi.
  • Tizim loglari vmsyslogd xizmatini o‘chirib qo‘yish orqali to‘xtatiladi – bu esa monitoringni butunlay yo‘qqa chiqaradi.

🌐 3. Tarmoqni aylanib o‘tish

  • Neo-reGeorg kabi webshell vositalari orqali segmentatsiyani buzib, ichki tarmoqqa kiriladi.
  • Medusa rootkit yordamida Linux asosidagi tizimlarda yashirin nazorat o‘rnatiladi.
  • IPv6 trafikdan foydalanish orqali IPv4 asosidagi xavfsizlik siyosatlari chetlab o‘tiladi.

Fire Ant guruhi an’anaviy APT guruhlaridan farqli ravishda virtualizatsiya darajasida (hypervisor-level) ishlaydi. Ya’ni ular biron bir operatsion tizimga emas, balki butun virtual muhitni boshqaruvchi infratuzilmaga ta’sir qiladi. Shu sababli ular aniqlanmasdan:

  • ESXi xostlarga to‘liq kirish huquqini qo‘lga kiritadi,
  • Har qanday virtual mashinani kuzatadi, o‘chiradi yoki nazorat qiladi,
  • Mahfiy ma’lumotlarni o‘g‘irlaydi yoki tarmoqni ichidan portlata oladi.

Tavsiya etilgan himoya choralar

VMware va tarmoq qurilmalaringizni yangilang
– Yuqorida ko‘rsatilgan CVE’lar bo‘yicha zudlik bilan patch o‘rnatilsin.

Hypervisor darajasidagi monitoringni yoqing
– Oddiy EDR yetarli emas! ESXi loglarini tashqi tizimda saqlang va SIEM orqali kuzating.

vpxuser va boshqa xizmat hisoblarini audit qiling
– Avtomatik yaratilgan, kuchli huquqlarga ega hisoblarni nazorat qiling.

Loglar to‘xtatilmaganiga ishonch hosil qiling
– Syslog va vmsyslogd faoliyatini tekshiring. Agar ular ishlamayotgan bo‘lsa – bu tahdid belgisi bo‘lishi mumkin.

Tarmoqlarda dual-stack (IPv4/IPv6) xavfsizlik siyosatini tekshiring
– IPv6 trafik uchun ham qoidalar yarating, aks holda xakerlar bu orqali tarmoqdan chiqib ketadi.

Fire Ant guruhi bugungi kunda faol va tobora takomillashayotgan APT tahdidi bo‘lib, ularning asosiy maqsadi — yirik tashkilotlarning virtual muhitiga kirib borish, u yerda o‘zining yashirin faoliyatini davom ettirishdir. Ayniqsa, VMware virtualizatsiya muhitlarida ishlovchi tashkilotlar uchun bu jiddiy xavf tug‘diradi.

🔔 Vaqtni boy bermang – tizimingizni himoya qilish bugunning o‘zida boshlanishi kerak!