Fire Ant হ্যাকারদের VMware ও ESXi হাইজ্যাক! UNC3886 এর ভয়ংকর হামলা | Bug Mohol

🔥 আগুনের মত ছড়াচ্ছে Fire Ant হ্যাকারদের সাইবার আক্রমণ – VMware, ESXi ও গুরুত্বপূর্ণ অবকাঠামো এখন হুমকির মুখে

Bug Mohol Cyber Desk | তারিখ: ২৬ জুলাই ২০২৫

Fire Ant Cyber Attack: A digital threat targeting VMware and ESXi server infrastructure. Image credit: Bug Mohol

বিশ্বজুড়ে ভার্চুয়ালাইজেশন এবং নেটওয়ার্ক সিস্টেমের উপর নির্ভরশীল প্রতিষ্ঠানে সাইবার আতঙ্ক বেড়েই চলেছে। সম্প্রতি প্রকাশিত একটি তদন্তমূলক প্রতিবেদনে উঠে এসেছে ভয়াবহ এক সাইবার-চক্রান্তের নাম — Fire Ant। একটি সুপরিকল্পিত এবং দীর্ঘস্থায়ী সাইবার গুপ্তচরবৃত্তি অভিযানের মাধ্যমে তারা VMware, vCenter Server ও ESXi হোস্ট-এর মত ভার্চুয়াল ব্যবস্থাপনা প্ল্যাটফর্মে প্রবেশ করে গভীরভাবে নেটওয়ার্ক দখলে নিচ্ছে।

🎯 কারা এই Fire Ant?

Fire Ant হলো একটি চীনের সাথে সংশ্লিষ্ট APT (Advanced Persistent Threat) গ্রুপ, যাদের কার্যকলাপে স্পষ্টভাবে UNC3886 গ্রুপের ছায়া দেখা যাচ্ছে — এটি সেই ber notorious হ্যাকার সংগঠন, যারা ২০২২ সাল থেকে বিভিন্ন এজ ডিভাইস ও ভার্চুয়ালাইজড পরিবেশের উপর নিরবিচারে আক্রমণ চালিয়ে আসছে।

সাইবার সিকিউরিটি ফার্ম Sygnia জানায়, Fire Ant মূলত এমন সব প্রতিষ্ঠানকে টার্গেট করছে যাদের VMware নির্ভর ভার্চুয়াল অবকাঠামো রয়েছে। তাদের আক্রমণের ধরন এতটাই চতুর এবং স্তরভিত্তিক যে তা একবার সিস্টেমে ঢুকতে পারলে মাসের পর মাস অনুপ্রবেশ ধরে রাখতে পারে।

🔓 Fire Ant কিভাবে আক্রমণ করছে?

Fire Ant সাধারণভাবে একাধিক ভিন্নভিন্ন নিরাপত্তা দুর্বলতা (CVE) একত্রে ব্যবহার করে একটা Kill Chain তৈরি করে। এই Kill Chain এর প্রতিটি ধাপে থাকে নিরব, পেশাদার হ্যাকারি কৌশল। নিচে কয়েকটি গুরুত্বপূর্ণ ভেক্টর উল্লেখ করা হলোঃ

• 🔑 CVE-2023-34048 – vCenter Zero-Day: এই দুর্বলতার মাধ্যমে Fire Ant vCenter Server এর নিয়ন্ত্রণ নেয় এবং সেখান থেকে vpxuser সার্ভিস অ্যাকাউন্ট ব্যবহার করে ESXi হোস্টে প্রবেশ করে।
• 🐚 VIRTUALPITA ব্যাকডোর ও Python Implant: হ্যাকাররা autobackup.bin নামের একটি Python daemon ফাইল ইনস্টল করে, যা চুপিসারে কমান্ড চালাতে, ফাইল আপলোড/ডাউনলোড করতে পারে।
• 🛠️ PowerCLI ও VM Memory Access: VMware Tools-এর CVE-2023-20867 দুর্বলতা ব্যবহার করে তারা guest VM এর ভিতরে ঢুকে ডোমেইন কন্ট্রোলার এর মেমোরি থেকে পাসওয়ার্ড পর্যন্ত বের করে নেয়।
• 🌐 F5 Load Balancer Exploit – CVE-2022-1388: এটি দিয়ে Fire Ant নেটওয়ার্কের বিভিন্ন segment এর মাঝে প্রবেশাধিকার নিয়ে নেয়। ফলে firewall বা segmentation-based protection কাজ করে না।

🔁 কি করে তারা বারবার ফিরে আসে?

Fire Ant হ্যাকাররা শুধু প্রবেশ করেই থেমে থাকে না। তারা নানারকম fallback ব্যাকডোর ফেলে যায় যাতে করে কেউ ধরা পড়ার আগেই তাদের মুছে ফেললেও, কিছু সময় পর আবার system-এর অন্য অংশ থেকে প্রবেশ করতে পারে।

🕶️ ছদ্মবেশ:

হ্যাকাররা এমনকি ফরেনসিক টুলের নাম ব্যবহার করে নিজেদের স্ক্রিপ্ট চালায়, যাতে মনে হয় সেগুলো নিরাপত্তা বিশেষজ্ঞের সফটওয়্যার!

🧹 লগ মুছে ফেলা:

ESXi হোস্টে থাকা vmsyslogd বন্ধ করে দিয়ে সমস্ত auditing process কে বন্ধ করে দেয়। ফলে কোনো ত্রুটি বা সন্দেহজনক কাজের রেকর্ড থাকে না।

📌 এই আক্রমণের প্রভাব কোথায়?

🇸🇬 “UNC3886 আমাদের জাতীয় নিরাপত্তার জন্য বড় হুমকি। তারা গুরুত্বপূর্ণ অবকাঠামো টার্গেট করছে যা দেশের পরিষেবা ব্যাহত করতে পারে।”

সিঙ্গাপুরের জাতীয় নিরাপত্তা মন্ত্রী ক. শানমুগাম

🇧🇩 বাংলাদেশে, যেসব সংস্থা vCenter Server, ESXi হোস্ট ব্যবহার করে, বা F5 Load Balancer সহ নেটওয়ার্ক ইন্সট্রাকচার চালায়, তাদেরকেও এখনই সতর্ক হতে হবে। কারণ এই হামলা কেবল অঞ্চলগত নয়, বরং আন্তর্জাতিকভাবে পরিচালিত।

🔍 Fire Ant কেন এত ভয়ংকর?

• 🧠 ইনফ্রাস্ট্রাকচারের গভীর জ্ঞান: Fire Ant-এর হ্যাকাররা যে প্রতিষ্ঠানে ঢুকছে, তাদের নেটওয়ার্ক টোপোলজি, সেগমেন্টেশন, এবং অপারেশনাল নীতি সম্পর্কে বিস্তারিত ধারণা রাখে।
• 📡 Monitoring Bypass: এরা এমন সিস্টেম টার্গেট করে যা সাধারণ Endpoint Security সলিউশন দ্বারা কভার হয় না — যেমন ESXi হোস্ট, Hypervisor বা VM Tools।
• 👣 Low Footprint Intrusion: সাধারণ হ্যাকারদের মত log flooding বা mass scanning করে না। বরং নিরব, নিখুঁতভাবে কাজ করে যাতে কেউ টের না পায়।

📘 Fire Ant কে রুখতে করণীয় কী?

• ✅ সর্বশেষ প্যাচ ইনস্টল করুন – ESXi, vCenter ও F5 Load Balancer এর জন্য।
• ✅ Hypervisor Layer Security যুক্ত করুন – সাধারণ Endpoint AV/EDR যথেষ্ট নয়।
• ✅ Monitoring ও Telemetry বাড়ান – system logs, anomaly detection, custom auditing।
• ✅ Credential ও Privilege Access Review করুন – বিশেষত Service Accounts (vpxuser)।
• ✅ Segment Bypass Test চালান – NDR বা Microsegmentation টুল দিয়ে পরীক্ষা করে দেখুন আক্রমণকারীরা কোনোভাবে সেগমেন্ট ক্রস করতে পারে কিনা।

You may want to read this post :

• গুগল জানে আপনি কে? এবার আপনার তথ্য সরানোর সুযোগ মিলছে | Bug mohol
• Cloudflare-এর রিপোর্টে প্রকাশ: ইতিহাসের ভয়ঙ্করতম ৭.৩ Tbps DDoS আক্রমণ ! | Bug Mohol
• Tiger M@te: বাংলাদেশের কিংবদন্তি হ্যাকার-এর ইতিহাস | Bug Mohol
• আপনার ফোনেও গোপনে নজরদারি? eSIM দুর্বলতায় ধরা পড়েছে ভয়ংকর ফাঁক! | Bug Mohol

🔚 উপসংহারঃ

Fire Ant-এর মত অত্যাধুনিক এবং চতুর হ্যাকার গ্রুপ বিশ্বজুড়ে একটি নতুন সাইবার যুদ্ধের চিত্র তুলে ধরছে — যেখানে শুধু ফায়ারওয়াল বা অ্যান্টিভাইরাস দিয়ে আর নিরাপদ থাকা যাচ্ছে না।

ভবিষ্যতের ইনফ্রাস্ট্রাকচারকে নিরাপদ রাখতে হলে এখনই আমাদের Hypervisor ও Virtual Layer-এর উপর নজরদারি বাড়াতে হবে, না হলে শুধুমাত্র “visible security” দিয়ে অদৃশ্য শত্রুকে ঠেকানো যাবে না।

📰 আরও সাইবার নিউজ, বিশ্লেষণ ও হ্যাকিং টিউটোরিয়ালের জন্য চোখ রাখুন Bug Mohol ব্লগে।

📢 এই প্রতিবেদনটি শেয়ার করুন আইটি পেশাজীবী, ক্লাউড অ্যাডমিন, সাইবার রিসার্চার ও ইনফ্রাস্ট্রাকচার অপারেটরদের সঙ্গে।

🔔 আমাদের সাথে থাকুন — Bug Mohol এ বাংলায় সাইবার দুনিয়ার গভীরতম বিশ্লেষণ পাবেন।

🔗 Bug Mohol Telegram চ্যানেলে যোগ দিন

Source:
The Hacker News/