בראש הכותרות

האקרים מסין ניצלו חולשות אבטחה בתשתיות VMware – ותקפו

לפי חברת הסייבר הישראלית סיגניה, האקרים מקבוצת נמלת אש השיגו גישה סמויה לנכסים רגישים של ארגונים, חדרו לרשתות שלהם ונשארו שם זמן ממושך מבלי להתגלות

24/07/2025 17:36
יואב מזור, ראש תחום מענה למתקפות סייבר באזור אסיה פסיפיק בסיגניה.
יואב מזור, ראש תחום מענה למתקפות סייבר באזור אסיה פסיפיק בסיגניה.צילום: יח"צ

קבוצת תקיפה מתוחכמת מסין הצליחה לחדור לרשתות של ארגונים, תוך ניצול פרצות אבטחה בתשתיות הווירטואליזציה של VMware ורכיבי רשת, ולהישאר שם זמן ממושך מבלי להתגלות, תוך עקיפת מערכות ההגנה – כך לפי חברת הסייבר הישראלית סיגניה (Sygnia).

החוקרים ציינו כי מתקפת הריגול נעשתה על ידי קבוצת נמלת אש (Fire Ant), שחבריה ניצלה חולשות אבטחה בתשתיות VMware ברשתות ארגוניות לצורך קבלת גישה סמויה לנכסים רגישים.

נמלת אש התפרסמה באחרונה כמי שביצעה מתקפת ריגול משמעותית ומתמשכת על התשתיות המדינתיות של סינגפור. לפי חוקרי סיגניה, "הקבוצה פעילה ומאיימת על מדינות נוספות ברחבי העולם. היא מתמקדת במערכות וירטואליזציה של VMware, וכן ברכיבי רשת קריטיים, במטרה לפרוץ לרשתות ארגוניות ולשמר נוכחות מתמשכת – תוך עקיפת אמצעי ההגנה המקובלים בתעשייה. התקיפה מציגה רמה גבוהה של תחכום ועמידות. זו תקיפה רב שכבתית, שכוללת פרצות אבטחה לא מתוקנות, מנגנוני התחמקות מתקדמים וכלים מותאמים אישית". החוקרים הוסיפו כי "הקבוצה מסתירה את עצמה ממערכות ניטור רשתות ומחדירה רכיבים זדוניים לתשתית הווירטואליזציה, מתחת לשכבת מערכת ההפעלה ובצורה שלא ניתנת לזיהוי על ידי אמצעי ההגנה המקובלים בתעשייה, לרבות אנטי וירוס ו-EDR".

חוקרי סיגניה נמנעו מייחוס חד משמעי באילו תוקפים מדובר במתקפה זו, אך כתבו כי "היבטים מרובים של הקמפיין של נמלת אש – ובעיקר ערכת הכלים הייחודית שלה, לצד וקטור ההתקפה – המכוונים לתשתית הווירטואליזציה של VMware עולים בקנה אחד עם מחקרים קודמים על קבוצת האיומים UNC3886. שעות הפעילות של קבוצת האיום לאורך כל האירועים ושגיאות קלט קלות שנצפו במהלך ביצוע פקודות בשפה הסינית מעידות שהיא ככל הנראה מסין".

"תוקפים יודעים לנצל חולשות בשכבות הכי עמוקות של תשתיות הארגון"

לדברי יואב מזור, ראש תחום מענה למתקפות סייבר באזור אסיה פסיפיק בסיגניה, "המתקפה מדגימה עד כמה תוקפים מתקדמים יודעים לנצל חולשות בשכבות העמוקות ביותר של התשתיות הארגוניות – כמו מערכות וירטואליזציה ורכיבי רשת, תוך עקיפת כלים מסורתיים לגילוי ותגובה. המתקפה מדגישה את החשיבות הקריטית של נראות והגנה גם במקומות שעד כה נתפסו כמאובטחים".

חוקרי סיגניה ממליצים לארגונים לחזק את יכולות הניטור וההגנה בתשתיות VMware, לרבות הפעלת לוגים מתמשכים ב-ESXi, הפעלת מנגנוני Secure Boot, הקשחת סיסמאות והרשאות, והגבלת הגישה לרכיבי ניהול תשתיות.

VMwareסיןסיגניהנמלת אש

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים