QEMU VM támadásra
A Sophos elemzése szerint a támadók a QEMU virtualizációs eszközt használják arra, hogy a teljes támadási láncot egy rejtett virtuális gépbe zárják, így kikerülve a hagyományos végpontvédelmi megoldásokat.
A módszer lényege, hogy a kompromittált rendszeren egy láthatatlanul futó VM-et indítanak, amelyen belül történik minden rosszindulatú tevékenység. Mivel az endpoint security eszközök elsősorban a host rendszert monitorozzák, a VM-en belüli aktivitás gyakorlatilag fekete dobozként jelenik meg, minimális forenzikus nyommal.
A Sophos két kampányt azonosított STAC4713 és STAC3725, amelyek közül az egyik a PayoutsKing ransomware terjesztéséhez köthető. A támadók jellemzően egy ütemezett feladattal indítják el a QEMU-t SYSTEM jogosultsággal, majd egy álcázott lemezképfájlból bootolják a VM-et.
A perzisztencia és a rejtett hozzáférés kulcsa a reverse SSH tunnel, a VM automatikusan kapcsolatot létesít a támadói infrastruktúrával, így egy folyamatos, detektálhatatlan C2 csatorna jön létre. Ez lehetővé teszi a domain hitelesítő adatok gyűjtését, Active Directory adatbázisok másolását, laterális mozgást és hálózati feltérképezést, valamint további payloadok betöltését.
A támadók a VM-en belül komplett eszközkészletet futtatnak miközben a host rendszeren gyakran legitim eszközöket használnak, így a Notepad, Paint, Edge alkalmazásokat, ami tovább csökkenti a detektálhatóságot.
A kezdeti hozzáférési vektor változó, megfigyeltek nem védett VPN-eket, valamint sérülékenységek kihasználását, de pszichológia megtévesztés is megjelent későbbi esetekben.
