แฮกเกอร์โจมตี VMware ESXi ในวงกว้างด้วยชุดเครื่องมือ Zero-day Exploit

กลุ่มแฮกเกอร์กำลังใช้ชุดเครื่องมือ Zero-day Exploit ที่ชื่อว่า ‘MAESTRO’ เพื่อโจมตี VMware ESXi ในวงกว้าง โดยอาศัยช่องโหว่หลายจุดเพื่อหลบหนีจาก Virtual Machine (VM) เข้าสู่ระบบโฮสต์ โดยบริษัทรักษาความปลอดภัย Huntress สามารถหยุดยั้งการโจมตีครั้งหนึ่งได้ และระบุว่าการเข้าถึงเริ่มต้นมาจากการเจาะระบบ SonicWall VPN ที่ถูกบุกรุก ก่อนที่จะย้ายไปยัง Domain Controller และติดตั้ง Backdoor สำหรับการสื่อสารแบบลับๆ

Severity: วิกฤต

System Impact:

• VMware ESXi instances (เวอร์ชัน 5.1 ถึง 8.0)
• SonicWall VPN (ช่องทางเข้าถึงเริ่มต้น)
• Domain Controllers (Primary และ Backup)
• VMware Guest SDK

Technical Attack Steps:

1. แฮกเกอร์ได้รับสิทธิ์การเข้าถึงเริ่มต้นผ่าน SonicWall VPN ที่ถูกบุกรุก
2. ใช้บัญชี Domain Admin ที่ถูกบุกรุกเพื่อเคลื่อนที่ในแนวนอน (Lateral Movement) ไปยัง Backup และ Primary Domain Controllers
3. ติดตั้งเครื่องมือสอดแนม (เช่น Advanced Port Scanner, ShareFinder) บน Primary DC
4. จัดเตรียมข้อมูลด้วย WinRAR
5. เปลี่ยนแปลงกฎของ Windows Firewall เพื่อบล็อกการเข้าถึงขาออกภายนอกและอนุญาตการเคลื่อนที่ภายใน
6. ติดตั้งและรันชุดเครื่องมือ MAESTRO ESXi exploit
7. MAESTRO ปิดการใช้งานไดรเวอร์ VMware VMCI ด้วย devcon.exe
8. โหลดไดรเวอร์ที่ไม่ได้ลงชื่อ (unsigned driver) ผ่าน KDU เพื่อเลี่ยงการบังคับใช้ Driver Signature Enforcement
9. ดำเนินการ VM Escape โดยใช้ช่องโหว่หลายจุด: การรั่วไหลหน่วยความจำ VMX ผ่าน HGFS (CVE-2025-22226), การเขียนข้อมูลในหน่วยความจำโดยพลการผ่าน VMCI (CVE-2025-22224) และการติดตั้ง Shellcode เพื่อหลบหนี Sandbox (CVE-2025-22225)
10. Shellcode ติดตั้ง Backdoor VSOCKpuppet ซึ่งทำการ Hijack inetd ของ ESXi บนพอร์ต 21 เพื่อสั่งรันโค้ดในฐานะ root และใช้ VSOCK สำหรับการสื่อสารระหว่าง Guest-Host ที่ตรวจจับได้ยาก
11. การโจมตีถูกหยุดยั้งโดย Huntress ก่อนที่จะมีการติดตั้ง Ransomware

Recommendations:

Short Term:

• อัปเดตแพตช์ ESXi โดยด่วน เพื่อแก้ไขช่องโหว่ที่เกี่ยวข้อง
• เฝ้าระวังโฮสต์ ESXi ด้วยคำสั่ง ‘lsof -a’ เพื่อหาโปรเซส VSOCK ที่น่าสงสัย
• ตรวจสอบและรักษาความปลอดภัยของระบบ VPN (เช่น SonicWall) อย่างเข้มงวด

Long Term:

• เสริมความแข็งแกร่งของระบบ Virtualization อย่างจริงจัง
• เฝ้าระวังการโหลดไดรเวอร์ที่ไม่ถูกต้อง (BYOD loaders) เช่น KDU
• ตรวจสอบการเปลี่ยนแปลงกฎ Firewall และการติดตั้งไดรเวอร์ที่ไม่ได้ลงชื่อ ซึ่งอาจเป็นสัญญาณของการถูกบุกรุก
• ทราบว่า Backdoor ประเภท VSOCK สามารถเลี่ยงการตรวจจับของ Intrusion Detection Systems (IDS) ได้
• พิจารณาการอัปเกรดหรือแก้ไข ESXi เวอร์ชันที่หมดอายุการสนับสนุนเนื่องจากจะไม่ได้รับการแก้ไขช่องโหว่อีกต่อไป

Source: https://cybersecuritynews.com/vmware-esxi-exploited-toolkit/