导 读
一项名为“CRON#TRAP”的新型网络钓鱼活动利用 Linux 虚拟机感染 Windows系统,该虚拟机包含内置后门,可秘密访问企业网络。
Securonix 的研究人员发现一项新的攻击活动,攻击者使用网络钓鱼电子邮件来执行无人值守的 Linux 虚拟机安装,以侵入公司网络并获得持久性。
网络钓鱼电子邮件假装是一份“OneAmerica 调查”,其中包含一个 285MB 的大型 ZIP 档案,用于安装预装后门的 Linux VM。
该 ZIP 文件包含一个名为“OneAmerica Survey.lnk”的 Windows 快捷方式和一个包含 QEMU 虚拟机应用程序的“数据”文件夹,其主可执行文件伪装为fontdiag.exe。
启动快捷方式时,它会执行 PowerShell 命令将下载的存档提取到“%UserProfile%datax”文件夹,然后启动“start.bat”在设备上设置和启动自定义 QEMU Linux 虚拟机。
安装 QEMU Linux 虚拟机的 Start.bat 批处理文件
在安装虚拟机时,相同的批处理文件将显示从远程站点下载的 PNG 文件,该文件显示虚假的服务器错误作为诱饵,暗示下载链接已断开。
显示虚假错误的图片,来源:Securonix
名为“PivotBox”的定制 TinyCore Linux VM 预装了后门,可确保持久的 C2 通信,从而允许攻击者在后台进行操作。
由于 QEMU 是经过数字签名的合法工具,因此 Windows 不会对其运行发出任何警报,安全工具也无法仔细检查虚拟机内部正在运行哪些恶意程序。
LNK 文件内容,来源:Securonix
后门操作
该后门的核心是一个名为 Chisel 的工具,这是一个网络隧道程序,经过预先配置,可以通过 WebSockets 与特定的命令和控制 (C2) 服务器创建安全通信通道。
Chisel 通过 HTTP 和 SSH 传输数据,即使防火墙保护网络,攻击者也可以与受感染主机上的后门进行通信。
为了持久化,通过修改“bootlocal.sh”将 QEMU 环境设置为主机重启后自动启动。同时,生成并上传 SSH 密钥以避免重新进行身份验证。
Securonix 重点介绍了两个命令,即“get-host-shell”和“get-host-user”。第一个命令在主机上生成一个交互式 shell,允许执行命令,而第二个命令用于确定权限。
然后可以执行的命令包括监视、网络和有效载荷管理操作、文件管理和数据泄露操作,因此攻击者拥有一套多功能的命令,使他们能够适应目标并执行破坏性操作。
威胁行为者的命令历史,来源:Securonix
防止 QEMU 滥用
CRON#TRAP 活动并不是黑客第一次滥用 QEMU 与其 C2 服务器建立秘密通信。
2024 年 3 月,卡巴斯基报告了另一起活动,其中威胁组织使用 QEMU 创建虚拟网络接口和套接字型网络设备来连接到远程服务器。
在这种情况下,一个非常轻的后门隐藏在仅 1MB RAM 上运行的 Kali Linux 虚拟机内,用于建立隐蔽的通信隧道。
为了检测和阻止这些攻击,请考虑放置监视器来监视从用户可访问文件夹执行的“qemu.exe”等进程,将 QEMU 和其他虚拟化套件放入阻止列表中,并从系统 BIOS 中禁用或阻止关键设备上的虚拟化。
技术报告:https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging/
新闻链接:
https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/
今日安全资讯速递
APT事件
Advanced Persistent Threat
美国和以色列网络安全机构联合发布一份报告,称伊朗黑客攻击入侵了2024法国夏季奥运会相关系统
https://thehackernews.com/2024/11/inside-irans-cyber-playbook-ai-fake.html
疑似乌克兰网络攻击导致俄罗斯城市停车执法瘫痪
https://therecord.media/ukraine-cyberattack-russia-parking-tver
微软警告俄罗斯鱼叉式网络钓鱼攻击针对 100 多个组织
https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/
微软警告:黑客利用 Quad7 僵尸网络窃取凭证
https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-use-quad7-botnet-to-steal-credentials/
朝鲜APT组织与 Play 勒索软件合作发动重大网络攻击
https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html
Lazarus APT 组织大量利用社会工程技术和生成式人工智能瞄准加密货币投资者
https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics
新的 LightSpy 间谍软件以增强功能瞄准 iOS
https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/
一般威胁事件
General Threat Incidents
新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络
https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/
ToxicPanda 恶意软件瞄准 Android 设备上的银行应用程序
https://www.infosecurity-magazine.com/news/toxicpanda-malware-banking-android/
DocuSign 被滥用来发送虚假发票网络钓鱼邮件
https://www.securityweek.com/docusign-apis-abused-to-deliver-fake-invoices/
网络攻击扰乱爱尔兰科技大学课程
https://therecord.media/cyberattack-disrupts-classes-at-irish-tech-university
缅因州圣泽维尔大学数据泄露事件影响 21万人
https://www.securityweek.com/210000-impacted-by-year-old-saint-xavier-university-data-breach/
俄亥俄州首府称 7 月勒索软件攻击泄露了 50万人的信息
https://therecord.media/columbus-ohio-city-government-ransomware-data-breach
黑客声称窃取用户数据后,施耐德电气展开调查
https://www.securityweek.com/schneider-electric-launches-probe-after-hackers-claim-theft-of-user-data/
漏洞事件
Vulnerability Incidents
研究人员披露 IBM Security Verify Access 中发现的 36 个漏洞
https://www.securityweek.com/researcher-discloses-32-vulnerabilities-found-in-ibm-security-verify-access/
Synology 敦促修补影响数百万台 NAS 设备的严重零点击 RCE 漏洞
https://thehackernews.com/2024/11/synology-urges-patch-for-critical-zero.html
谷歌修复了两个被针对性攻击利用的 Android 漏洞
https://www.securityweek.com/google-patches-two-android-vulnerabilities-exploited-in-targeted-attacks/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):新型网络钓鱼活动利用 Linux 虚拟机感染 Windows,VM内置后门,可秘密访问企业网络
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论