Μια νέα καμπάνια phishing με την ονομασία «CRON#TRAP» μολύνει τα Windows με μια εικονική μηχανή Linux που περιέχει μια ενσωματωμένη κερκόπορτα για να παρέχει μυστική πρόσβαση σε εταιρικά δίκτυα.
Η χρήση εικονικών μηχανών για τη διεξαγωγή επιθέσεων δεν είναι κάτι καινούργιο, καθώς οι συμμορίες ransomware και οι cryptominers τα χρησιμοποιούν για να εκτελούν κρυφά κακόβουλη δραστηριότητα. Ωστόσο, οι φορείς απειλών συνήθως τα εγκαθιστούν με μη αυτόματο τρόπο αφού παραβιάσουν ένα δίκτυο.
Μια νέα καμπάνια εντοπίστηκε από Ερευνητές της Securonix Αντίθετα, χρησιμοποιεί μηνύματα ηλεκτρονικού ψαρέματος (phishing) για την εκτέλεση εγκαταστάσεων εικονικών μηχανών Linux χωρίς επίβλεψη για να παραβιάσει και να αποκτήσει επιμονή σε εταιρικά δίκτυα.
Τα μηνύματα ηλεκτρονικού ψαρέματος προσποιούνται ότι είναι μια “έρευνα της OneAmerica” που περιλαμβάνει ένα μεγάλο αρχείο ZIP 285 MB για την εγκατάσταση ενός Linux VM με προεγκατεστημένη κερκόπορτα.
Αυτό το αρχείο ZIP περιέχει μια συντόμευση των Windows με το όνομα “OneAmerica Survey.lnk” και έναν φάκελο “data” που περιέχει την εφαρμογή εικονικής μηχανής QEMU, με το κύριο εκτελέσιμο αρχείο μεταμφιεσμένο ως fontdiag.exe.
Όταν εκκινηθεί η συντόμευση, εκτελεί μια εντολή PowerShell για να εξαγάγει το αρχείο λήψης στο φάκελο “%UserProfile%\datax” και στη συνέχεια να εκκινήσει το “start.bat” για να ρυθμίσει και να εκκινήσει μια προσαρμοσμένη εικονική μηχανή QEMU Linux στη συσκευή.
Πηγή: BleepingComputer
Κατά την εγκατάσταση της εικονικής μηχανής, το ίδιο αρχείο δέσμης θα εμφανίζει ένα αρχείο PNG που έχει ληφθεί από μια απομακρυσμένη τοποθεσία που δείχνει ένα ψεύτικο σφάλμα διακομιστή ως δόλωμα, υποδηλώνοντας έναν κατεστραμμένο σύνδεσμο προς την έρευνα.
Πηγή: Securonix
Το προσαρμοσμένο TinyCore Linux VM με το όνομα «PivotBox» είναι προφορτωμένο με μια κερκόπορτα που διασφαλίζει τη μόνιμη επικοινωνία C2, επιτρέποντας στους εισβολείς να λειτουργούν στο παρασκήνιο.
Δεδομένου ότι το QEMU είναι ένα νόμιμο εργαλείο που είναι επίσης ψηφιακά υπογεγραμμένο, τα Windows δεν προκαλούν συναγερμούς σχετικά με την εκτέλεσή του και τα εργαλεία ασφαλείας δεν μπορούν να ελέγξουν ποια κακόβουλα προγράμματα εκτελούνται μέσα στην εικονική μηχανή.
Πηγή: Securonix
Λειτουργίες backdoor
Στην καρδιά της κερκόπορτας βρίσκεται ένα εργαλείο που ονομάζεται Chisel, ένα πρόγραμμα διοχέτευσης σήραγγας δικτύου που είναι προρυθμισμένο για τη δημιουργία ασφαλών καναλιών επικοινωνίας με έναν συγκεκριμένο διακομιστή εντολών και ελέγχου (C2) μέσω WebSockets.
Το Chisel διοχετεύει δεδομένα μέσω HTTP και SSH, επιτρέποντας στους εισβολείς να επικοινωνούν με την κερκόπορτα στον παραβιασμένο κεντρικό υπολογιστή, ακόμα κι αν ένα τείχος προστασίας προστατεύει το δίκτυο.
Για επιμονή, το περιβάλλον QEMU έχει ρυθμιστεί να ξεκινά αυτόματα μετά την επανεκκίνηση του κεντρικού υπολογιστή μέσω τροποποιήσεων «bootlocal.sh». Ταυτόχρονα, δημιουργούνται και αποστέλλονται κλειδιά SSH για να αποφευχθεί ο εκ νέου έλεγχος ταυτότητας.
Το Securonix επισημαίνει δύο εντολές, δηλαδή «get-host-shell» και «get-host-user». Το πρώτο δημιουργεί ένα διαδραστικό κέλυφος στον κεντρικό υπολογιστή, επιτρέποντας την εκτέλεση εντολών, ενώ το δεύτερο χρησιμοποιείται για τον καθορισμό των προνομίων.
Οι εντολές που μπορούν να εκτελεστούν περιλαμβάνουν ενέργειες επιτήρησης, διαχείρισης δικτύου και ωφέλιμου φορτίου, διαχείριση αρχείων και λειτουργίες εξαγωγής δεδομένων, έτσι ώστε οι εισβολείς να έχουν ένα ευέλικτο σύνολο που τους επιτρέπει να προσαρμοστούν στον στόχο και να εκτελούν επιβλαβείς ενέργειες.
Πηγή: Securonix
Προστασία από κατάχρηση QEMU
Η καμπάνια CRON#TRAP δεν είναι το πρώτο περιστατικό χάκερ που κάνουν κατάχρηση του QEMU για να δημιουργήσουν μυστικές επικοινωνίες με τον διακομιστή C2 τους.
Τον Μάρτιο του 2024, η Kaspersky ανέφερε μια άλλη καμπάνια όπου οι παράγοντες απειλών χρησιμοποίησαν το QEMU για να δημιουργήσουν διεπαφές εικονικού δικτύου και μια συσκευή δικτύου τύπου υποδοχής για σύνδεση σε έναν απομακρυσμένο διακομιστή.
Σε αυτή την περίπτωση, μια πολύ ελαφριά κερκόπορτα κρυμμένη μέσα σε μια εικονική μηχανή Kali Linux που λειτουργεί με μόλις 1 MB μνήμης RAM χρησιμοποιήθηκε για τη δημιουργία μιας κρυφής σήραγγας επικοινωνίας.
Για να εντοπίσετε και να αποκλείσετε αυτές τις επιθέσεις, εξετάστε το ενδεχόμενο να τοποθετήσετε οθόνες για διεργασίες όπως το “qemu.exe” που εκτελούνται από φακέλους προσβάσιμους από το χρήστη, να τοποθετήσετε το QEMU και άλλες σουίτες εικονικοποίησης σε μια λίστα αποκλεισμού και να απενεργοποιήσετε ή να αποκλείσετε την εικονικοποίηση γενικά σε κρίσιμες συσκευές από το BIOS του συστήματος.
VIA: bleepingcomputer.com
