Aralık 2025'te, bir güvenlik ekibi bir grup hacker'ı tam zamanında yakaladı. Huntress firmasından araştırmacılar Anna Pham ve Matt Anderson, bu saldırganların sanal bir makineden nasıl kaçıp bir ana sunucuyu ele geçirdiklerini detaylandırdı. Hackread.com ile paylaşılan bu araştırma, muhtemelen yıllardır gizlice faaliyet gösteren bir araç setini ortaya koyuyor.
Bildiğimiz gibi sanal makineler (VM'ler), izole dijital odalar gibidir. Eğer birine virüs bulaşırsa, diğerlerinin güvende kalması gerekir. Ancak bu saldırganlar, bu duvarları yıkmak için bir VM Kaçışı kullandılar. Bu, onları misafir bilgisayardan ana sunucunun beyni olan ESXi hypervisor'a geçiş yapmalarına olanak tanıdı.
Saldırının Başlangıcı
Hacker'ların içeri girmek için sihirli bir numaraya ihtiyaçları yoktu. Bilginiz olsun, bir SonicWall VPN aracılığıyla çalınan bir şifre kullanarak içeri girdiler. Bir kez içeri girdiklerinde, MAESTRO adlı bir araç setini kullandılar.
Daha fazla araştırma, hacker'ların VMX adlı bir süreci hedef aldığını ortaya koydu. Bu, sanal bilgisayarın ana sunucu ile basit görevler için metin kopyalamak gibi iletişim kurmasına yardımcı olan asistandır.
Bu asistanı kırarak, hacker'lar sunucuya doğrudan talimat verebildiler. Araştırmacılar, hacker'ların çok zeki olduğunu belirtti; hatta sunucunun yardım çağrısı yapmasını engellemek için ayarlarını değiştirdiler. Bu süreçte veri çalmak için ağda hareket ettiler. Araç setinin inanılmaz derecede güçlü olduğu ve 5.1'den 8.0'a kadar 155 farklı VMware yazılım versiyonunda çalıştığı dikkat çekicidir.
Sıfır Günü Açıkları
Zaman çizelgesi en endişe verici kısımdır. VMware, bu açıkları (CVE-2025-22224, 22225 ve 22226 olarak etiketlenmiştir) 4 Mart 2025'te düzeltmişken, araştırmacılar araç setinin 2 Kasım 2023'e kadar inşa edildiğini buldular. Bu, saldırganların muhtemelen bir yıldan fazla bir süre boyunca yaratıcılarına bilinmeyen bir sıfır günü (bilinmeyen bir açık) kullandığı anlamına geliyor.
Daha fazla araştırma, kodun basitleştirilmiş Çince notlar içerdiğini, "Tüm versiyon kaçışı - teslimat" olarak çevrilen bir klasörün bulunduğunu ortaya çıkardı. Araştırmacılara göre, bu, muhtemelen Çince konuşulan bir bölgede bulunan iyi kaynaklara sahip bir geliştiriciye işaret ediyor.
Dahası, bu hacker'lar sunucu ile iletişim kurmak için VSOCK adlı özel görünmez bir yol kullandılar. Çoğu güvenlik aracı normal internet trafiğini inceler, ancak VSOCK, güvenlik duvarlarının göremediği makinenin içinde gizli bir tünel gibidir.
Güvende kalmak için Huntress ekibi, şirketlerin sistemlerini derhal yamalamaları ve sunucularında garip aktiviteleri kontrol etmeleri gerektiğini söylüyor. Bu saldırı, bir fidye yazılımı felaketine dönüşmeden durdurulmuş olsa da, izole sistemlerin bile sürekli bakıma ihtiyaç duyduğunu göstermektedir.
