文章总结： Huntress发现黑客利用MAESTRO工具包攻击VMwareESXi实例。攻击者通过入侵VPN横向移动，利用多个0Day漏洞实现虚拟机逃逸并部署后门。该工具包显示中文开发特征。建议及时为ESXi打补丁，监控VSOCK进程与防火墙规则，并警惕BYOD加载器以防范此类虚拟化环境威胁。 综合评分： 90 文章分类： 漏洞分析,恶意软件,漏洞预警,红队,云安全

黑客利用0Day漏洞工具包在野攻击VMware ESXi实例

FreeBuf

2026年1月8日 18:31 上海

网络安全公司Huntress发现黑客正在利用一个0Day漏洞工具包攻击VMware ESXi实例，该工具包通过串联多个漏洞实现虚拟机逃逸。攻击者最初通过被入侵的SonicWall VPN获得初始访问权限。

Part01

攻击过程分析

威胁行为者首先通过SonicWall VPN获得立足点，随后利用被入侵的域管理员账户进行横向移动，先后攻陷备份域控制器和主域控制器。在主域控制器上，攻击者部署了Advanced Port Scanner和ShareFinder等侦察工具，使用WinRAR暂存数据，并修改Windows防火墙规则以阻止外部出站流量，同时允许内部横向移动。

在部署漏洞工具包约20分钟后，攻击者开始执行ESXi漏洞利用程序，Huntress在勒索软件部署前成功阻止了攻击。

Part02

MAESTRO漏洞工具包技术细节

Huntress将该工具包命名为MAESTRO，其工作原理包括：

• 使用devcon.exe禁用VMware VMCI驱动程序
• 通过KDU加载未签名驱动程序以绕过驱动程序签名强制（DSE）
• 执行核心逃逸操作

工具包截图（来源：Huntress）

MyDriver.sys驱动程序通过VMware Guest SDK查询ESXi版本，从支持ESXi 5.1至8.0共155个构建版本的数据表中选择偏移量，通过HGFS（CVE-2025-22226）泄露VMX基址，通过VMCI（CVE-2025-22224）破坏内存，并部署用于沙箱逃逸的shellcode（CVE-2025-22225）。

Shellcode会部署名为VSOCKpuppet的后门程序，该后门劫持ESXi的inetd服务（端口21）以获取root权限，并使用VSOCK进行隐蔽的虚拟机-宿主机通信，这种通信方式对网络监控工具不可见。

Part03

攻击溯源与防御建议

PDB路径显示该工具包在简体中文环境中开发，如”全版本逃逸–交付”的路径名称，时间戳为2024年2月，比Broadcom在2025年3月4日发布的VMSA-2025-0004安全公告早了一年多。2023年11月的client.exe PDB表明该工具采用模块化设计，被篡改的VMware驱动程序引用了”XLab”。Huntress高度确信攻击者来自中文环境，基于资源文件和0Day漏洞获取能力。

防御建议：

• 及时为ESXi打补丁，已停止支持的版本无法获得修复
• 使用”lsof -a”命令监控ESXi主机的VSOCK进程
• 警惕KDU等BYOD加载器
• 加强VPN安全防护
• 防火墙规则变更和未签名驱动程序都是系统被入侵的信号
• VSOCK后门可绕过入侵检测系统（IDS）

此次事件凸显了虚拟机监控程序面临的持续威胁，攻击者通过驱动程序恢复和配置清理保持隐蔽性。随着针对ESXi的勒索软件攻击增加，企业必须加强虚拟化环境的安全防护。

参考来源：

Hackers Exploiting VMware ESXi Instances in the Wild Using zero-day Exploit Toolkit

Hackers Exploiting VMware ESXi Instances in the Wild Using zero-day Exploit Toolkit

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《黑客利用0Day漏洞工具包在野攻击VMware ESXi实例》