แฮกเกอร์ที่เชื่อมโยงกับจีนใช้ช่องโหว่ Zero-Day ของ VMware ESXi เพื่อหลบหนีออกจาก Virtual Machine

นักแสดงภัยคุกคามที่ใช้ภาษาจีนต้องสงสัยว่าใช้ประโยชน์จากอุปกรณ์ SonicWall VPN ที่ถูกบุกรุกเป็นช่องทางเข้าถึงเริ่มต้น เพื่อติดตั้งชุด Exploit ของ VMware ESXi โดยใช้ช่องโหว่ Zero-Day สามรายการ (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) เพื่อหลบหนีออกจาก Virtual Machine (VM) และควบคุม Hypervisor ชุดเครื่องมือโจมตีนี้มีชื่อว่า MAESTRO และเชื่อว่าถูกพัฒนาขึ้นมานานกว่าหนึ่งปีก่อนที่ VMware จะเปิดเผยช่องโหว่ต่อสาธารณะ ซึ่งบ่งชี้ว่าผู้พัฒนาที่มีทรัพยากรดีน่าจะปฏิบัติการอยู่ในภูมิภาคที่ใช้ภาษาจีน ชุดเครื่องมือนี้ยังรวมถึงไดรเวอร์ Kernel ชื่อ MyDriver.sys และ Backdoor แบบ ELF ชื่อ VSOCKpuppet ซึ่งใช้โปรโตคอล VSOCK ในการสื่อสารเพื่อเข้าถึง Host ESXi จากระยะไกลอย่างต่อเนื่อง การโจมตีถูกตรวจพบโดย Huntress และหยุดยั้งได้ทันก่อนจะเข้าสู่ขั้นตอนสุดท้าย ซึ่งอาจนำไปสู่การโจมตีด้วย Ransomware

Severity: วิกฤต

System Impact:

• SonicWall VPN appliances
• VMware ESXi hosts
• Virtual Machines (VMs)
• VMX process
• Hypervisor

Technical Attack Steps:

1. เข้าถึงเริ่มต้นผ่านอุปกรณ์ SonicWall VPN ที่ถูกบุกรุก
2. ติดตั้ง Exploit.exe (MAESTRO) ซึ่งทำหน้าที่เป็นผู้ประสานงานหลักสำหรับการหลบหนี VM
3. ใช้ devcon.exe เพื่อปิดใช้งานไดรเวอร์ VMCI (Virtual Machine Communication Interface) ฝั่ง Guest
4. โหลดไดรเวอร์ Kernel ที่ไม่มีลายเซ็น MyDriver.sys เข้าสู่หน่วยความจำ Kernel โดยใช้ KDU (Kernel Driver Utility) ซึ่งเป็นเครื่องมือโอเพนซอร์ส
5. MyDriver.sys ระบุเวอร์ชัน ESXi ที่ทำงานอยู่บน Host และเริ่มการโจมตีเพื่อใช้ช่องโหว่ CVE-2025-22226 และ CVE-2025-22224
6. เขียน Payload สามส่วนลงในหน่วยความจำของ VMX โดยตรง: Stage 1 shellcode (เตรียมสภาพแวดล้อมสำหรับการหลบหนี Sandbox ของ VMX), Stage 2 shellcode (สร้างจุดยึดบน Host ESXi), และ VSOCKpuppet (Backdoor แบบ ELF 64 บิตที่ให้การเข้าถึงระยะไกลอย่างต่อเนื่องไปยัง Host ESXi และสื่อสารผ่านพอร์ต VSOCK 10000)
7. เขียนทับ Function Pointer ภายใน VMX (ตรงกับ CVE-2025-22225) ด้วยที่อยู่ของ Shellcode
8. ส่งข้อความ VMCI ไปยัง Host เพื่อ Trigger VMX ทำให้ Shellcode ของผู้โจมตีทำงาน
9. ใช้ client.exe (GetShell Plugin) จาก Guest Windows VM ใดๆ บน Host ที่ถูกบุกรุก เพื่อส่งคำสั่งกลับไปยัง ESXi และโต้ตอบกับ Backdoor (VSOCKpuppet) เพื่อถ่ายโอนไฟล์และเรียกใช้คำสั่ง Shell บน Hypervisor

Recommendations:

Short Term:

• อัปเดตแพตช์ VMware ESXi: รีบใช้แพตช์ความปลอดภัยทั้งหมดที่มีสำหรับ CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226 ทันที
• รักษาความปลอดภัยอุปกรณ์ VPN: ตรวจสอบให้แน่ใจว่าอุปกรณ์ SonicWall VPN ทั้งหมด (และอุปกรณ์เครือข่าย Edge อื่นๆ) ได้รับการแพตช์อย่างสมบูรณ์ กำหนดค่าอย่างปลอดภัย และตรวจสอบกิจกรรมที่น่าสงสัย
• ตรวจสอบ Indicators of Compromise (IoCs): สแกนและตรวจสอบ IoCs ที่เกี่ยวข้องกับชุดเครื่องมือ MAESTRO, KDU, MyDriver.sys, VSOCKpuppet และ client.exe อย่างกระตือรือร้น ตามที่อธิบายไว้ในรายงาน
• การแบ่งส่วนเครือข่าย (Network Segmentation): ใช้การแบ่งส่วนเครือข่ายที่เข้มงวดเพื่อจำกัดการเคลื่อนที่ด้านข้างในกรณีที่มีการบุกรุก โดยเฉพาะระหว่าง VM และ Hypervisor
• ตรวจสอบบันทึกการเข้าถึง: ตรวจสอบบันทึกสำหรับกิจกรรมการดูแลระบบที่ผิดปกติหรือความพยายามในการเข้าถึงที่ไม่ได้รับอนุญาตไปยัง Host ของ VMware ESXi และอุปกรณ์ VPN

Long Term:

• การจัดการช่องโหว่อย่างสม่ำเสมอ: สร้างและรักษากลุ่มการจัดการช่องโหว่ที่แข็งแกร่ง ซึ่งรวมถึงการสแกน การแพตช์ และการตรวจสอบการกำหนดค่าอย่างสม่ำเสมอสำหรับสภาพแวดล้อมเสมือนทั้งหมดและโครงสร้างพื้นฐานที่สำคัญ
• สถาปัตยกรรม Zero Trust: นำแบบจำลองความปลอดภัย Zero Trust มาใช้เพื่อลดความน่าเชื่อถือโดยปริยาย และบังคับใช้สิทธิ์การเข้าถึงแบบ Least Privilege ทั่วทั้งระบบ IT รวมถึงสภาพแวดล้อมเสมือน
• การตรวจสอบและตรวจจับที่ปรับปรุงแล้ว: ใช้โซลูชันการตรวจจับภัยคุกคามขั้นสูงที่สามารถตรวจสอบทราฟฟิก VMCI และ VSOCK สำหรับรูปแบบที่ผิดปกติที่บ่งชี้ถึงความพยายามหลบหนี VM หรือการสื่อสาร Backdoor
• การเสริมความแข็งแกร่งของ Hypervisor: ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดสำหรับการเสริมความแข็งแกร่งของ Host VMware ESXi รวมถึงการปิดใช้งานบริการที่ไม่จำเป็น และการรับรองการยืนยันตัวตนที่แข็งแกร่ง
• แผนรับมือเหตุการณ์: พัฒนาและทดสอบแผนรับมือเหตุการณ์ที่ครอบคลุมเป็นประจำ โดยเฉพาะสำหรับสถานการณ์การบุกรุก Hypervisor
• ความปลอดภัยของห่วงโซ่อุปทาน: ประเมินสถานะความปลอดภัยของซอฟต์แวร์และผู้ให้บริการฮาร์ดแวร์บุคคลที่สาม โดยพิจารณาจากการใช้ Zero-Day ที่อาจได้รับการพัฒนาไว้ล่วงหน้า

Source: https://thehackernews.com/2026/01/chinese-linked-hackers-exploit-vmware.html