网络安全研究人员标记了一种新的恶意软件活动,该活动使用 Linux 虚拟实例感染 Windows 系统,该实例包含一个能够建立对受感染主机的远程访问的后门。
代号为CRON#TRAP 的“有趣”活动从一个恶意 Windows 快捷方式 (LNK) 文件开始,该文件可能通过网络钓鱼电子邮件以 ZIP 存档的形式分发。
“CRON#TRAP 活动特别令人担忧的是,模拟的 Linux 实例预先配置了一个后门,该后门会自动连接到攻击者控制的命令和控制 (C2) 服务器,”Securonix 研究人员 Den Iuzvyk 和 Tim Peck 在一项分析中说。
“这种设置允许攻击者在受害者的机器上保持隐蔽的存在,在隐蔽的环境中进行进一步的恶意活动,使传统的防病毒解决方案难以检测。”
网络钓鱼消息声称是“OneAmerica 调查”,带有一个 285MB 的大型 ZIP 存档,打开后会触发感染过程。
作为尚未归因的攻击活动的一部分,LNK 文件充当管道,通过合法的开源虚拟化工具 Quick Emulator (QEMU) 提取和启动模拟的轻量级自定义 Linux 环境。虚拟机在 Tiny Core Linux 上运行。
该快捷方式随后启动负责重新提取 ZIP 文件并执行隐藏的“start.bat”脚本的 PowerShell 命令,该脚本反过来又向受害者显示虚假错误消息,让他们觉得调查链接不再有效。
但在后台,它设置了称为 PivotBox 的 QEMU 虚拟 Linux 环境,该环境预装了 Chisel 隧道实用程序,可在 QEMU 实例启动后立即授予对主机的远程访问。
“二进制文件似乎是一个预配置的 Chisel 客户端,旨在连接到 18.208.230 的远程命令和控制 (C2) 服务器[.]174 通过 websockets,“研究人员说。“攻击者的方法有效地将这个 Chisel 客户端转变为一个完整的后门,使远程命令和控制流量能够流入和流出 Linux 环境。”
这一发展是威胁行为者用来针对组织和隐藏恶意活动的众多不断发展的策略之一——例如,已观察到针对欧洲国家的电子制造、工程和工业公司进行鱼叉式网络钓鱼活动,以提供规避性的GuLoader 恶意软件。
“这些电子邮件通常包括订单查询并包含存档文件附件,”Cado Security 研究员 Tara Gould说。“这些电子邮件是从各种电子邮件地址发送的,包括来自虚假公司和被盗账户。这些电子邮件通常会劫持现有的电子邮件线程或请求有关订单的信息。
该活动主要针对罗马尼亚、波兰、德国和哈萨克斯坦等国家/地区,从存档文件中的批处理文件开始。批处理文件嵌入了一个经过模糊处理的 PowerShell 脚本,该脚本随后从远程服务器下载另一个 PowerShell 脚本。
辅助 PowerShell 脚本包括分配内存并最终执行 GuLoader shellcode 以最终获取下一阶段有效负载的功能。
“Guloader 恶意软件继续调整其技术来逃避检测以交付 RAT,”Gould 说。“威胁行为者不断针对某些国家/地区的特定行业。它的弹性凸显了采取主动安全措施的必要性。
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。 |
END
原文始发于微信公众号(信息安全大事件):新的 CRON#TRAP 恶意软件通过隐藏在 Linux VM 中以逃避防病毒来感染 Windows
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论