Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Кинески хакери експлоатираат zero-day ранливости во VMware ESXi за бегство од виртуелни машини

Објавено: 12.01.2026

Се сомнева дека заканувачки актери кои зборуваат кинески јазик искористиле компромитиран SonicWall VPN уред како почетен вектор за пристап, со цел да распореденат експлоит за VMware ESXi, кој можеби бил развиван уште од февруари 2024 година.

Компанијата за сајбер-безбедност Huntress, која ја забележала активноста во декември 2025 година и ја запрела пред да стигне до финалната фаза, соопшти дека нападот можел да резултира со ransomware напад.

Најзначајно, се верува дека нападот искористил три ранливости во VMware кои Broadcom ги објави како zero-day во март 2025 година:

  • CVE-2025-22224 (CVSS оценка: 9.3)
  • CVE-2025-22225 (CVSS оценка: 8.2)
  • CVE-2025-22226 (CVSS оценка: 7.1)

Успешната експлоатација на овие проблеми може да му овозможи на злонамерен актер со администраторски привилегии да извлекува меморија од процесот Virtual Machine Executable (VMX) или да извршува код како VMX процес.

Истиот месец, Американската агенција за сајбер-безбедност и безбедност на инфраструктурата (CISA) ја додаде оваа ранливост во каталогот Known Exploited Vulnerabilities (KEV), наведувајќи докази за активна експлоатација.

„Анализираниот алатник […] содржи и поедноставени кинески стрингови во своите развојни патеки, вклучувајќи папка со име ‘全版本逃逸–交付’ (превод: ‘Бегство од сите верзии – испорака’), како и докази што укажуваат дека најверојатно бил изграден како zero-day експлоит повеќе од една година пред јавната објава од VMware, што упатува на добро финансиран развивач кој веројатно работи во регион каде се зборува кинески јазик“, изјавија истражувачите Ана Фам и Мет Андерсон.

Проценката дека алатникот ги „вооружува“ трите слабости на VMware се базира на однесувањето на експлоитот, неговата употреба на Host-Guest File System (HGFS) за протекување информации, Virtual Machine Communication Interface (VMCI) за корупција на меморија, како и shellcode кој овозможува бегство до кернелот, додаде компанијата.

Алатникот се состои од повеќе компоненти, при што главна е „exploit.exe“ (познат и како MAESTRO), кој дејствува како оркестратор на целокупното бегство од виртуелната машина (VM), користејќи ги следниве вградени бинарни датотеки:

  • devcon.exe – за оневозможување на VMCI драјверите од страна на гостинскиот систем
  • MyDriver.sys – непотпишан кернел драјвер кој го содржи експлоитот и се вчитува во кернел меморијата со помош на алатка со отворен код наречена Kernel Driver Utility (KDU), по што се следи статусот на експлоитот и повторно се овозможуваат VMCI драјверите
Тек на експлоатација за бегство од виртуелна машина (VM Escape)

Главната задача на драјверот е да ја идентификува точната верзија на ESXi што работи на хостот и да активира експлоит за CVE-2025-22226 и CVE-2025-22224, со што на крај му овозможува на напаѓачот директно да запише три payload-и во меморијата на VMX:

  • Stage 1 shellcode – за подготовка на околината за бегство од VMX sandbox-от
  • Stage 2 shellcode – за воспоставување почетно присуство (foothold) на ESXi хостот
  • VSOCKpuppet – 64-битен ELF backdoor што обезбедува постојан далечински пристап до ESXi хостот и комуницира преку VSOCK (Virtual Sockets) портата 10000

„По запишувањето на payload-ите, експлоитот препишува покажувач кон функција во рамките на VMX,“ објасни Huntress. „Прво ја зачувува оригиналната вредност на покажувачот, а потоа ја заменува со адресата на shellcode-от. Потоа експлоитот испраќа VMCI порака до хостот за да го активира VMX.“

VSOCK комуникациски протокол помеѓу client.exe и VSOCKpuppet

„Кога VMX ја обработува пораката, тој го следи корумпираниот покажувач и скока кон shellcode-от на напаѓачот наместо кон легитимен код. Оваа финална фаза одговара на CVE-2025-22225, која VMware ја опишува како ‘ранливост за произволно запишување’ што овозможува ‘бегство од sandbox-от’.“

Бидејќи VSOCK овозможува директен комуникациски канал помеѓу гостинските виртуелни машини и хипервизорот, утврдено е дека заканувачките актери користат „client.exe“ (познат и како GetShell Plugin), кој може да се извршува од која било гостинска Windows VM на компромитираниот хост и да испраќа команди назад кон компромитираниот ESXi, како и да комуницира со backdoor-от. PDB патеката вградена во бинарната датотека открива дека таа можеби била развиена во ноември 2023 година.

Клиентот поддржува преземање датотеки од ESXi кон VM, прикачување датотеки од VM кон ESXi, како и извршување shell команди на хипервизорот. Интересно е што GetShell Plugin се доставува до Windows VM во форма на ZIP архива („Binary.zip“), која исто така содржи README датотека со упатства за користење, што дава увид во можностите за пренос на датотеки и извршување команди.

Во моментов не е јасно кој стои зад алатникот, но употребата на поедноставен кинески јазик, заедно со софистицираноста на нападната низа и злоупотребата на zero-day ранливости неколку месеци пред нивното јавно објавување, најверојатно укажува на добро финансиран развивач што работи во регион каде се зборува кинески јазик, теоретизира Huntress.

„Овој упад демонстрира софистициран, повеќефазен нападен синџир дизајниран да ја заобиколи изолацијата на виртуелните машини и да го компромитира основниот ESXi хипервизор,“ додаде компанијата. „Со поврзување на протекување информации, корупција на меморија и бегство од sandbox, заканувачкиот актер го постигна она од кое секој VM администратор стравува: целосна контрола врз хипервизорот од внатрешноста на гостинска VM.“

„Употребата на VSOCK за комуникација со backdoor-от е особено загрижувачка, бидејќи целосно ги заобиколува традиционалните мрежни механизми за надзор, што ја прави детекцијата значително потешка. Алатникот исто така дава приоритет на прикриеност наместо на перзистентност.“

Фам, виш аналитичар за тактички одговор во Huntress, за The Hacker News изјави дека нема докази што укажуваат дека алатникот бил рекламиран или продаван на dark web форуми, додавајќи дека бил распоредуван на таргетиран начин.

„Сепак, со оглед на присуството на README датотека со оперативни упатства, алатникот очигледно бил дизајниран за дистрибуција надвор од оригиналниот развивач,“ рече Фам. „Со високо ниво на сигурност проценуваме дека алатникот се продава приватно од развивач што зборува кинески јазик, најверојатно преку приватни канали или затворени групи, наместо преку јавни подземни пазари.“

„Таргетираниот карактер на забележаните распоредувања сугерира дека алатникот се дистрибуира селективно до проверени купувачи, наместо да биде широко комерцијализиран, што е во согласност со напредни офанзивни алатки кои операторите претпочитаат да ги држат подалеку од масовна употреба за да избегнат развој на сигнатури за детекција.“

Извори:

  • The Hacker News – China-Linked Hackers Exploit VMware ESXi Zero-Days to Escape Virtual Machines The Hacker News