随着网络攻击事件的日益严重，各种针对企业及政府机构的网络攻击不断被曝光。近日，Sygnia发布了一项针对名为Fire Ant的间谍活动的深入报告，揭露了其如何针对VMware ESXi、vCenter及网络设备进行高超的网络间谍行为。该攻击者运用了超越传统防御手段的多种隐秘技术，向行业传递着重要的警示信号。

报告中指出，Fire Ant采取了多层次的攻击策略，在被认为是隔离环境的系统中获取访问权限，具体表现为在攻击过程中使用了高度复杂且隐秘的手段，有效规避了许多检测系统，显示出其卓越的持续渗透和操作能力。

自2025年初，Sygnia一直在追踪和应对Fire Ant针对虚拟化及网络基础设施的长期间谍活动。攻击者自然利用这些系统作为初步访问、横向移动和长期存在的据点。该组织的操作以基础设施为中心的战术、技术与程序（TTPs）为特点，使活动在传统终端防护机制的检测阈值之下，暴露出传统安全措施中的关键盲点。

这场攻击的核心在于攻击者成功地掌控了受害者的VMware ESXi主机和vCenter服务器，随后通过未经身份验证的主机到虚拟机命令执行以及直接从虚拟化主机提取凭证，转向访客环境。这种方式使得攻击者在不依赖于客体系统的身份验证的情况下直接操控来宾虚拟机。

Fire Ant的攻击手法表现出高度的运营韧性，能够在遭到清除和遏制措施后，快速适应并保持访问。例如，在清除过程中，攻击者更换工具集，替换持久后门，并操控网络配置以重新建立对入侵系统的访问。报告强调，Fire Ant的工具和技术与之前归因于UNC3886的活动存在明显的技术重叠，这使得其具备深入虚拟环境的能力。

随着调查的深入，Sygnia对Fire Ant的攻击行为进行了技术拆解。研究发现，攻击者初次入侵的方式为利用CVE-2023-34048这一漏洞，获得对vCenter管理层的控制，实现未经身份验证的远程代码执行。一旦获得对vCenter的控制，攻击者通过提取系统账户凭证，进一步控制连接的ESXi主机，并在这些系统上维持持久性。

在操控虚拟化基础设施方面，攻击者的能力得到了充分体现。他们利用脆弱的基础设施进行横向移动，并通过伪造认证 Cookie、自生成的后门及其它形式，确保控制权限的长久保留。该组织也利用公开的网络接口，在受控的虚拟机中建立了额外的入口点，进一步实现了对网络的渗透。

此外，Fire Ant还在网络基础设施方面表现出极高的操控能力，在被认为是安全隔离的环境中，通过信任端点建立隧道，以此绕过严格的访问控制策略，达成横向渗透。其多条冗余路径的设计，使其能够在响应活动中保持流动性，并在清理后迅速反弹攻击。

这一攻击活动不仅暴露了组织在网络架构和监控实施方面的不足，也对关键基础设施的安全防护提出了更高的要求。报告提醒企业在建立网络安全策略时，必须将防守重点放在虚拟化基础设施上。这些系统常常被排除在标准检测响应程序之外，导致其成为隐蔽操作的理想地点。

为了增强安全性，建议组织应采取必要的技术防御措施。包括实施最新的安全补丁、强化密码管理、定期进行密码轮换和分隔与隔离等。特别强调的是，在处理网络间谍活动时，必须采取协调一致的清除和监控策略，确保能够建立有效的根除机制，从而避免重复性入侵。

Fire Ant的行动以及其所采用的手段，充分证明了在网络安全日益复杂化的今天，传统的防御机制已经无法满足现代攻击的需求。因此，组织必须提高对虚拟系统的安全防护认识和应用，以应对不断变化的网络攻击威胁。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！