Сначала взломать VPN, потом захватить мир (или хотя бы все ваши виртуальные машины)
NewsMakerОбнаружены следы использования 0Day в VMware ESXi за год до официального раскрытия.
Виртуальные машины часто воспринимают как надежные «контейнеры» для проверки риска, даже если внутри что-то пошло не так. Но в декабре 2025 года команда Huntress столкнулась с инцидентом, который напомнил неприятную вещь. Иногда атакующему достаточно вырваться из одной гостевой VM, чтобы добраться до самого гипервизора VMware ESXi и получить контроль над всем хостом.
По оценке Huntress Tactical Response, начальная точка входа почти наверняка была куда прозаичнее, чем последующие трюки с виртуализацией. Злоумышленники, судя по индикаторам и тактикам, попали в сеть через скомпрометированный SonicWall VPN . Дальше, уже имея привилегии администратора домена, они начали перемещаться по инфраструктуре через RDP, в том числе на резервный и основной контроллеры домена.
На резервном контроллере домена атакующие пытались сменить пароль учетной записи администратора на Password01$ с помощью Impacket, но попытку заблокировали средства защиты. Параллельно злоумышленники запускали обычные инструменты разведки сети, например Advanced Port Scanner и SoftPerfect Network Scanner, а затем использовали ShareFinder, чтобы собрать список общих сетевых ресурсов и выгрузить его в файл.
На основном контроллере домена они развернули набор эксплойтов для VMware ESXi и примерно через 20 минут изменили правила Windows Firewall так, чтобы отрезать машину от внешних сетей, сохранив связь с внутренними диапазонами. Подобные настройки часто встречаются в атаках, когда цель состоит в том, чтобы усложнить жертве обращение за помощью и одновременно не мешать злоумышленнику распространяться по сети. После этого, по данным Huntress, началась подготовка к выносу данных. Для упаковки использовали WinRAR и сетевые шары.
Виртуальные машины часто воспринимают как надежные «контейнеры» для проверки риска, даже если внутри что-то пошло не так. Но в декабре 2025 года команда Huntress столкнулась с инцидентом, который напомнил неприятную вещь. Иногда атакующему достаточно вырваться из одной гостевой VM, чтобы добраться до самого гипервизора VMware ESXi и получить контроль над всем хостом.
По оценке Huntress Tactical Response, начальная точка входа почти наверняка была куда прозаичнее, чем последующие трюки с виртуализацией. Злоумышленники, судя по индикаторам и тактикам, попали в сеть через скомпрометированный SonicWall VPN . Дальше, уже имея привилегии администратора домена, они начали перемещаться по инфраструктуре через RDP, в том числе на резервный и основной контроллеры домена.
На резервном контроллере домена атакующие пытались сменить пароль учетной записи администратора на Password01$ с помощью Impacket, но попытку заблокировали средства защиты. Параллельно злоумышленники запускали обычные инструменты разведки сети, например Advanced Port Scanner и SoftPerfect Network Scanner, а затем использовали ShareFinder, чтобы собрать список общих сетевых ресурсов и выгрузить его в файл.
На основном контроллере домена они развернули набор эксплойтов для VMware ESXi и примерно через 20 минут изменили правила Windows Firewall так, чтобы отрезать машину от внешних сетей, сохранив связь с внутренними диапазонами. Подобные настройки часто встречаются в атаках, когда цель состоит в том, чтобы усложнить жертве обращение за помощью и одновременно не мешать злоумышленнику распространяться по сети. После этого, по данным Huntress, началась подготовка к выносу данных. Для упаковки использовали WinRAR и сетевые шары.