去年1月，Google揭露中国骇客UNC3886利用零时差漏洞CVE-2023-34048的攻击行动，骇客从2021年开始用于对VMware虚拟化平台vCenter下手，并在瘫痪VMware服务后的数分钟内，部署后门程序。后续有其他骇客跟进，利用这项漏洞从事网路间谍活动。

资安业者Sygnia自今年初开始，追蹤及回应由骇客组织Fire Ant的长期网路间谍活动，这些骇客专门针对VMware ESXi、vCenter，以及网路设备而来，透过Hypervisor层级的攻击手法来迴避侦测，并持续在受害组织活动。根据骇客使用的工具与手法，Sygnia研判Fire Ant与UNC3886有所关连。

针对骇客的攻击途径，Sygnia指出Fire Ant对于受害组织的ESXi主机与vCenter服务器建立强大的控制机制，然后使用未经身分验证的命令，从主机对用户端下达，并透过特定帐密进行存取。这些骇客为了突破不同的网段并试图存取隔离网路环境，採取複杂且隐密的手法，组成多阶段攻击链。他们运用虚拟化平台及网路基础设施作为初始存取、横向移动、持续活动的管道。

而且，攻击者的手段相当灵活，因为他们积极抹除作案痕迹、更换使用的工具、部署能长期存取的后门，并操纵网路组态，而能不断重新建立存取权限。

究竟Sygina如何发现相关活动？他们起初是在虚拟机器察觉恶意处理程序，其中最吸引他们注意的部分，是VMware Tools的处理程序vmtoolsd.exe，这代表攻击者并非从虚拟机器内部下达命令，因此他们将调查範围转向虚拟化平台，从而得到新的发现。

攻击者如何渗透？首先，他们利用CVE-2023-34048，取得虚拟化平台的管理权限。此为vCenter未经身分验证的远端程序执行（RCE）漏洞，CVSS风险达到9.8（满分10分）。

接着，他们从vCenter挖掘服务帐号vpxuser的密码，以此入侵ESXi主机，并在vCenter与ESXi部署后门程序，值得留意的是，即使上述系统重开机，攻击者还是能藉由后门程序存取这些设备。

在成功控制虚拟化平台后，攻击者随即对虚拟机器下手，过程中，他们操弄VMX处理程序，并利用另一个VMware Tools漏洞CVE-2023-20867，而能在不需用户端帐密的情况下，透过PowerCLI下达命令，从而干扰资安工具运作，并从记忆体的快照截取帐密。

附带一提的是，这些骇客还会利用V2Ray框架建立虚拟机器的网路隧道，甚至绕过正常的vCenter注册流程部署虚拟机器，使得这些虚拟机器于背景执行，无法透过资产管理工具或一般的监控机制察觉。

除了攻击虚拟化平台，他们也对多种网路设备下手，例如：透过重大漏洞CVE-2022-1388攻击F5负载平衡设备；针对基于Java平台的网页服务器，植入Web Shell建立隧道；攻击Linux主机，部署名为Medusa的Rootkit。