新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络

admin 2024年11月6日10:41:29评论27 views字数 3703阅读12分20秒阅读模式

导 

一项名为“CRON#TRAP”的新型网络钓鱼活动利用 Linux 虚拟机感染 Windows系统,该虚拟机包含内置后门,可秘密访问企业网络。

Securonix 的研究人员发现一项新的攻击活动,攻击者使用网络钓鱼电子邮件来执行无人值守的 Linux 虚拟机安装,以侵入公司网络并获得持久性。

网络钓鱼电子邮件假装是一份“OneAmerica 调查”,其中包含一个 285MB 的大型 ZIP 档案,用于安装预装后门的 Linux VM。

该 ZIP 文件包含一个名为“OneAmerica Survey.lnk”的 Windows 快捷方式和一个包含 QEMU 虚拟机应用程序的“数据”文件夹,其主可执行文件伪装为fontdiag.exe。

新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络

启动快捷方式时,它会执行 PowerShell 命令将下载的存档提取到“%UserProfile%datax”文件夹,然后启动“start.bat”在设备上设置和启动自定义 QEMU Linux 虚拟机。

新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络

安装 QEMU Linux 虚拟机的 Start.bat 批处理文件

在安装虚拟机时,相同的批处理文件将显示从远程站点下载的 PNG 文件,该文件显示虚假的服务器错误作为诱饵,暗示下载链接已断开。

新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络

显示虚假错误的图片,来源:Securonix

名为“PivotBox”的定制 TinyCore Linux VM 预装了后门,可确保持久的 C2 通信,从而允许攻击者在后台进行操作。

由于 QEMU 是经过数字签名的合法工具,因此 Windows 不会对其运行发出任何警报,安全工具也无法仔细检查虚拟机内部正在运行哪些恶意程序。

新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络

LNK 文件内容,来源:Securonix

后门操作

该后门的核心是一个名为 Chisel 的工具,这是一个网络隧道程序,经过预先配置,可以通过 WebSockets 与特定的命令和控制 (C2) 服务器创建安全通信通道。

Chisel 通过 HTTP 和 SSH 传输数据,即使防火墙保护网络,攻击者也可以与受感染主机上的后门进行通信。

为了持久化,通过修改“bootlocal.sh”将 QEMU 环境设置为主机重启后自动启动。同时,生成并上传 SSH 密钥以避免重新进行身份验证。

Securonix 重点介绍了两个命令,即“get-host-shell”和“get-host-user”。第一个命令在主机上生成一个交互式 shell,允许执行命令,而第二个命令用于确定权限。

然后可以执行的命令包括监视、网络和有效载荷管理操作、文件管理和数据泄露操作,因此攻击者拥有一套多功能的命令,使他们能够适应目标并执行破坏性操作。

新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络

威胁行为者的命令历史,来源:Securonix

防止 QEMU 滥用

CRON#TRAP 活动并不是黑客第一次滥用 QEMU 与其 C2 服务器建立秘密通信。

2024 年 3 月,卡巴斯基报告了另一起活动,其中威胁组织使用 QEMU 创建虚拟网络接口和套接字型网络设备来连接到远程服务器。

在这种情况下,一个非常轻的后门隐藏在仅 1MB RAM 上运行的 Kali Linux 虚拟机内,用于建立隐蔽的通信隧道。

为了检测和阻止这些攻击,请考虑放置监视器来监视从用户可访问文件夹执行的“qemu.exe”等进程,将 QEMU 和其他虚拟化套件放入阻止列表中,并从系统 BIOS 中禁用或阻止关键设备上的虚拟化。

技术报告:https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging/

新闻链接:

https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/

新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络

今日安全资讯速递

APT事件

Advanced Persistent Threat

美国和以色列网络安全机构联合发布一份报告,称伊朗黑客攻击入侵了2024法国夏季奥运会相关系统

https://thehackernews.com/2024/11/inside-irans-cyber-playbook-ai-fake.html

疑似乌克兰网络攻击导致俄罗斯城市停车执法瘫痪

https://therecord.media/ukraine-cyberattack-russia-parking-tver

微软警告俄罗斯鱼叉式网络钓鱼攻击针对 100 多个组织

https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/

微软警告:黑客利用 Quad7 僵尸网络窃取凭证

https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-use-quad7-botnet-to-steal-credentials/

朝鲜APT组织与 Play 勒索软件合作发动重大网络攻击

https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html

Lazarus APT 组织大量利用社会工程技术和生成式人工智能瞄准加密货币投资者

https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics

新的 LightSpy 间谍软件以增强功能瞄准 iOS

https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/

一般威胁事件

General Threat Incidents

新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络

https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/

ToxicPanda 恶意软件瞄准 Android 设备上的银行应用程序

https://www.infosecurity-magazine.com/news/toxicpanda-malware-banking-android/

DocuSign 被滥用来发送虚假发票网络钓鱼邮件

https://www.securityweek.com/docusign-apis-abused-to-deliver-fake-invoices/

网络攻击扰乱爱尔兰科技大学课程

https://therecord.media/cyberattack-disrupts-classes-at-irish-tech-university

缅因州圣泽维尔大学数据泄露事件影响 21万人

https://www.securityweek.com/210000-impacted-by-year-old-saint-xavier-university-data-breach/

俄亥俄州首府称 7 月勒索软件攻击泄露了 50万人的信息

https://therecord.media/columbus-ohio-city-government-ransomware-data-breach

黑客声称窃取用户数据后,施耐德电气展开调查

https://www.securityweek.com/schneider-electric-launches-probe-after-hackers-claim-theft-of-user-data/

漏洞事件

Vulnerability Incidents

研究人员披露 IBM Security Verify Access 中发现的 36 个漏洞

https://www.securityweek.com/researcher-discloses-32-vulnerabilities-found-in-ibm-security-verify-access/

Synology 敦促修补影响数百万台 NAS 设备的严重零点击 RCE 漏洞

https://thehackernews.com/2024/11/synology-urges-patch-for-critical-zero.html

谷歌修复了两个被针对性攻击利用的 Android 漏洞

https://www.securityweek.com/google-patches-two-android-vulnerabilities-exploited-in-targeted-attacks/

新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月6日10:41:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络https://cn-sec.com/archives/3362422.html

发表评论

匿名网友 填写信息