07.11.2024 | Невидимый Linux в Windows: хакеры маскируют атаки через QEMU |
Специалисты Securonix обнаружили необычную кибератаку под названием CRON#TRAP. Хакеры используют вредоносный ярлык, который после запуска запускает скрытую кастомизированную версию Linux с помощью программы QEMU . Такой механизм позволяет атакующим незаметно присутствовать на компьютере жертвы и управлять им, обходя защитные программы. QEMU — легальный инструмент для виртуализации, поэтому его наличие обычно не вызывает подозрений. В атаке злоумышленники настроили QEMU на запуск небольшой версии Linux — Tiny Core Linux со встроенным бэкдором . Программа автоматически связывается с C2-сервером, открывая хакерам постоянный доступ для управления системой. Исследователи считают, что заражение началось с фишингового письма. В письме находился файл «OneAmerica Survey.zip» размером 285 МБ, в котором был ярлык и директория с QEMU. Пользователь, распаковав архив, видит только ярлык, который при запуске начинает цепочку действий: сначала показывает сообщение об ошибке, а затем запускает QEMU, замаскированный под файл с названием «fontdiag.exe». В скрытой Linux-среде хакеры могут взаимодействовать с основной системой, используя специальные команды, например, для получения данных о пользователе. Кроме того, в виртуальной системе PivotBox злоумышленники установили программы, которые помогают следить за сетью, загружать файлы и сохранять изменения. Один из ключевых инструментов — файл «crondx», являющийся модифицированной версией программы Chisel. Инструмент позволяет скрытно передавать данные через фаерволы, создавая постоянное зашифрованное соединение с сервером хакеров. Подобный метод взлома требует высоких навыков и использования легитимных инструментов, что усложняет обнаружение. Securonix советует избегать скачивания файлов из неизвестных источников, особенно архивов, присланных по электронной почте. Также необходимо проверять системные папки на наличие подозрительных файлов и включить журналирование для отслеживания действий PowerShell, чтобы своевременно обнаружить попытки атакующих проникнуть в систему. |
Проверить безопасность сайта