قراصنة مرتبطون بالصين يستغلون ثغرات يوم الصفر في VMware ESXi للهروب من الآلات الافتراضية

قراصنة مرتبطون بالصين يستغلون ثغرات يوم الصفر في VMware ESXi للهروب من الآلات الافتراضية
قراصنة مرتبطون بالصين يستغلون ثغرات يوم الصفر في VMware ESXi للهروب من الآلات الافتراضية
شارك هذا الخبر

رصدت شركة الأمن السيبراني Huntress نشاطاً مشبوهاً في ديسمبر 2025، حيث حاول مهاجمون ناطقون بالصينية استغلال جهاز SonicWall VPN مخترق كنقطة وصول أولية لنشر أدوات هجوم ضد منصة VMware ESXi. الهجوم كان يستهدف استغلال ثلاث ثغرات يوم الصفر أعلنت عنها شركة Broadcom في مارس 2025:

  • CVE-2025-22224 (درجة خطورة 9.3)
  • CVE-2025-22225 (درجة خطورة 8.2)
  • CVE-2025-22226 (درجة خطورة 7.1)

نجاح الاستغلال يتيح للمهاجمين تسريب بيانات من عملية VMX أو تنفيذ أوامر برمجية بنفس صلاحياتها، وهو ما يمثل تهديداً بالغاً للبنية التحتية الافتراضية.

أدوات الهجوم وسلسلة الاختراق

التحقيقات أظهرت أن مجموعة الأدوات المستخدمة تضمنت ملفات تحمل مسارات تطوير باللغة الصينية، مثل مجلد باسم “هروب لجميع الإصدارات – التسليم”. هذا يشير إلى أن الاستغلال ربما تم تطويره منذ فبراير 2024، أي قبل عام من إعلان الثغرات رسمياً.

الأداة الرئيسية المسماة exploit.exe (MAESTRO) تعمل كمنسق للهجوم، وتستخدم مكونات مثل:

  • devcon.exe لتعطيل تعريفات VMCI الخاصة بالضيف.
  • MyDriver.sys، وهو برنامج تشغيل غير موقّع يتم تحميله في الذاكرة باستخدام أداة مفتوحة المصدر KDU، ثم يُعاد تفعيل تعريفات VMCI بعد تنفيذ الاستغلال.

المسؤولية الأساسية للسائق هي تحديد نسخة ESXi المستهدفة وتفعيل الاستغلال، ما يسمح بحقن ثلاث حمولات مباشرة في ذاكرة VMX:

  1. Shellcode المرحلة الأولى لإعداد بيئة الهروب.
  2. Shellcode المرحلة الثانية لترسيخ موطئ قدم على المضيف.
  3. VSOCKpuppet، وهو باب خلفي دائم يوفر وصولاً عن بُعد عبر منفذ VSOCK 10000.
آلية الهروب من العزل الافتراضي

بعد كتابة الحمولة، يقوم الاستغلال بتغيير مؤشر دالة داخل VMX، ثم يرسل رسالة عبر VMCI لتفعيل الكود الخبيث. هذه المرحلة ترتبط بالثغرة CVE-2025-22225، التي تسمح بكتابة عشوائية تؤدي إلى الهروب من بيئة العزل.

الأداة المساعدة client.exe (GetShell Plugin) تتيح للمهاجمين من أي جهاز افتراضي ضيف إرسال أوامر إلى المضيف ESXi عبر بروتوكول VSOCK، بما في ذلك تحميل وتنزيل الملفات وتنفيذ أوامر النظام. الملف يُوزع عادةً في أرشيف ZIP باسم Binary.zip يحتوي أيضاً على ملف README يشرح طريقة الاستخدام.

دلالات استراتيجية على الأمن السيبراني

التحليل يشير إلى أن هذه الأدوات لم تُعرض للبيع في منتديات الإنترنت المظلم، بل يتم توزيعها بشكل انتقائي عبر قنوات خاصة، ما يعكس طبيعة أدوات هجومية عالية المستوى تُستخدم في عمليات محددة لتجنب تطوير توقيعات كشف مضادة.

الاعتماد على بروتوكول VSOCK للتواصل بين الضيف والمضيف يُعد مقلقاً بشكل خاص، لأنه يتجاوز أنظمة المراقبة الشبكية التقليدية ويجعل الكشف أكثر صعوبة. كما أن التركيز على التخفي بدلاً من الاستمرارية يوضح أن الهدف هو تنفيذ هجمات دقيقة وسريعة دون إثارة الشبهات.

وسوم
محمد وهبى
محمد وهبى
المقالات: 807

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة