تم رصد جهات فاعلة بالغة التهديد تستخدم لغة صينية مبسطة، يُشتبه في أنها استغلت جهاز SonicWall VPN مخترق كوسيلة وصول أولية، لشن هجوم يعتمد على استغلال ثغرة في VMware ESXi. يعود تاريخ تطوير هذه الثغرة المحتملة إلى فبراير 2024، ورصدت شركة Huntress للأمن السيبراني هذا النشاط في ديسمبر 2025.
وبحسب تقرير الشركة، فإن الهجوم المتوقع قد يتطور إلى هجوم فدية. هذا التطور يثير قلقاً متزايداً في قطاع الأمن السيبراني، لا سيما مع تزايد الاعتماد على البيئات الافتراضية في المؤسسات.
استغلال ثغرات VMware ESXi
الهجوم يستهدف استغلال ثلاث ثغرات حرجة في VMware، تم الكشف عنها كثغرات يوم الصفر (Zero-day) من قبل شركة Broadcom في مارس 2025. تشمل هذه الثغرات CVE-2025-22224 (بدرجة خطورة 9.3)، و CVE-2025-22225 (بدرجة خطورة 8.2)، و CVE-2025-22226 (بدرجة خطورة 7.1).
ويسمح الاستغلال الناجح لهذه الثغرات للمهاجم، الذي يمتلك صلاحيات إدارية، بتسريب الذاكرة من عملية VMX (Virtual Machine Executable) أو تنفيذ الأكواد بصلاحيات هذه العملية. وقد أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) هذه الثغرة إلى قائمة الثغرات المستغلة المعروفة، إثر وجود أدلة على استغلالها النشط.
تفاصيل تطوير الاستغلال
تشير الأبحاث الأولية إلى أن مجموعة الأدوات المستخدمة في الهجوم تحتوي على مسارات تطوير بلغة صينية مبسطة، مثل مجلد يحمل اسم “All version escape – delivery”. كما توجد دلائل تشير إلى أن الاستغلال قد تم تطويره كثغرة يوم صفر قبل أكثر من عام من الإعلان العام عنها من قبل VMware.
هذا يشير إلى وجود مطور من ذوي الموارد الكبيرة، غالباً ما يكون مقيماً في منطقة ناطقة بالصينية، وفقاً لتحليلات الباحثين Anna Pham و Matt Anderson.
آلية عمل الاستغلال
تعتمد مجموعة الأدوات على استغلال ثغرات VMware ESXi عبر استخدام تقنية HGFS (Host-Guest File System) لتسريب المعلومات، وتقنية VMCI (Virtual Machine Communication Interface) لإحداث تلف في الذاكرة. وتتضمن أدوات تشغيل الاستغلال ملف “exploit.exe” (المعروف أيضاً باسم MAESTRO)، والذي يعمل كمنسق لعملية الهروب الكامل من الجهاز الافتراضي.
يشمل العمل استخدام ملفات مدمجة مثل “devcon.exe” لتعطيل برامج تشغيل VMCI الخاصة بـ VMware، و “MyDriver.sys” وهو برنامج تشغيل نواة غير موقع. يتم تحميل هذا البرنامج إلى ذاكرة النواة عبر أداة مفتوحة المصدر، ثم يتم رصد حالة الاستغلال وإعادة تمكين برامج تشغيل VMCI.
مراحل الهجوم
يقوم برنامج التشغيل بتحديد إصدار ESXi قيد التشغيل وتشغيل استغلال لاثنين من الثغرات. يسمح هذا للمهاجم بكتابة ثلاثة حمولات (Payloads) مباشرة في ذاكرة VMX. تشمل هذه الحمولات:
- حمولة المرحلة الأولى: لإعداد البيئة لعملية الهروب من صندوق الحماية الخاص بـ VMX.
- حمولة المرحلة الثانية: لإنشاء موطئ قدم على مضيف ESXi.
- VSOCKpuppet: باب خلفي (Backdoor) بـ 64 بت يوفر وصولاً عن بعد مستمراً لمضيف ESXi ويتواصل عبر منفذ VSOCK.
بعد كتابة الحمولات، يقوم الاستغلال بالكتابة فوق مؤشر وظيفة داخل VMX. ثم يرسل رسالة VMCI إلى المضيف لتشغيل VMX، مما يؤدي إلى قفز VMX إلى شيفرة المهاجم بدلاً من الشيفرة الشرعية. هذه المرحلة النهائية ترتبط بالثغرة CVE-2025-22225، والتي تسمح بالهروب من صندوق الحماية.
التواصل عبر VSOCK
استخدم المهاجمون برنامج “client.exe” (المعروف أيضاً باسم GetShell Plugin) للتواصل من أي جهاز افتراضي يعمل بنظام Windows على المضيف المخترق، وإرسال الأوامر إلى ESXi المخترق والتفاعل مع الباب الخلفي. يكشف المسار المضمن في الملف الثنائي أنه ربما تم تطويره في نوفمبر 2023.
يدعم العميل إمكانية تنزيل الملفات من ESXi إلى الجهاز الافتراضي، وتحميل الملفات من الجهاز الافتراضي إلى ESXi، وتنفيذ أوامر shell على المضيف. يتم إسقاط GetShell Plugin إلى الجهاز الافتراضي بنظام Windows في شكل أرشيف ZIP، يتضمن ملف README مع تعليمات الاستخدام.
الجهة المفترضة للهجوم
لا تزال الجهة المسؤولة عن هذه الأدوات غير واضحة. ومع ذلك، فإن استخدام اللغة الصينية المبسطة، إلى جانب تعقيد سلسلة الهجوم واستغلال ثغرات يوم الصفر قبل الكشف عنها، يشير بقوة إلى مطور يتمتع بموارد جيدة ويعمل في منطقة ناطقة بالصينية.
يوضح هذا الاختراق سلسلة هجوم معقدة ومتعددة المراحل تهدف إلى الهروب من عزل الجهاز الافتراضي والسيطرة على مضيف ESXi الأساسي. من خلال ربط تسريب المعلومات، وتلف الذاكرة، والهروب من صندوق الحماية، تمكن المهاجم من تحقيق ما يخشاه كل مسؤول عن الأجهزة الافتراضية: التحكم الكامل في المضيف من داخل جهاز افتراضي.
يعد استخدام VSOCK للاتصال الخلفي أمراً مقلقاً بشكل خاص، حيث يتجاوز مراقبة الشبكة التقليدية تماماً. كما أن مجموعة الأدوات تركز على التخفي بدلاً من الاستمرارية.