Исследователи Securonix обнаружили новую фишинговую кампанию под названием «CRON#TRAP», в рамках которой на системах Windows развертывается виртуальная машина Linux с предустановленным бэкдором, автоматически подключающаяся к управляемому злоумышленниками командно-контрольному серверу (C2). Злоумышленники использовали ссылку для загрузки массивного ZIP-архива, содержащего ярлыки с именами «OneAmerica Survey.zip» и «OneAmerica Survey.lnk», чтобы инициировать неуправляемую установку виртуальной машины Linux, тем самым проникая в корпоративные сети и обеспечивая их устойчивость.
CRON#TRAP
ZIP-файл содержит ярлык Windows и каталог «data» с эмулятором Quick Emulator (QEMU), где основной исполняемый файл маскируется под fontdiag.exe. QEMU - это инструмент виртуализации с открытым исходным кодом, который позволяет эмулировать различные архитектуры, обеспечивая запуск операционных систем или приложений в виртуализированной среде. В этой кампании злоумышленники использовали QEMU для эмуляции TinyCore Linux, бесплатной небольшой операционной системы с открытым исходным кодом. При выполнении ярлыка Windows запускается команда PowerShell для извлечения архива и запускается пользовательская виртуальная машина QEMU Linux под названием «PivotBox» на устройстве. В процессе установки также отображается ложный PNG-файл, показывающий фальшивую ошибку сервера, чтобы отвлечь жертву. В виртуальную машину 'PivotBox' предварительно загружается бэкдор, который обеспечивает постоянную связь с C2. Поскольку QEMU - это легитимная ВМ с цифровой подписью, злоумышленники могут работать незамеченными. Кроме того, использование параметра «-nographic» означает, что виртуальная среда Linux будет работать без звука в фоновом режиме.
Бэкдор использует Chisel, инструмент сетевого туннелирования, для создания защищенных каналов через HTTP и SSH в обход брандмауэров. Для сохранения работоспособности среда QEMU настроена на автоматический запуск после перезагрузки хоста, а для бесперебойного доступа генерируются SSH-ключи. Злоумышленники могут выполнять ряд команд для наблюдения, управления сетью и полезной нагрузкой, управления файлами и утечки данных. О предыдущих случаях использования QEMU для скрытой связи C2 Kaspersky Lab сообщала в марте 2024 года.
Securonix рекомендует отслеживать распространенные каталоги для хранения вредоносного ПО, обращая особое внимание на активность, связанную со сценариями, в каталогах с возможностью записи домашний каталог, поскольку Злоумышленники устанавливали свой экземпляр QEMU из домашнего каталога пользователя, %HOME%\datax.
Indicators of Compromise
SHA256
- 002f9cd9ffa4b81301d003acd9fb3fbba1262e593b4f2e56a085b62a50e76510
- 0618bb997462f350bc4402c1a5656b38bedc278455823ac249fd5119868d3df4
- 3e6a47da0a226a4c98fb53a06ec1894b4bfd15e73d0cea856b7d2a001cada7e9
- 4c91070877c6d116f5a27efaddbbfbc339455628e9d6585a4ea5f9b6972bf92b
- 5a8bc06587ce40b3a8d8dd4037d0ef272efc64a69e21f6689ffe3f5fbb04a468
- 6903bdf7f4a22ecfddbaee0b16e3dee85dbb169aa446094bb3d1b75526677b6c
- 82a9747485fdd60360d28cd73671f171a8312b7d68b26fe1e2d472eb97c4fe59
- 9a33ea831edf83cb8775311963f52299f1488a89651bd3471cc8f1c70f08a36c
- 9ffad9cf6d93b21bb0ca15de9ab9e782e78f2b6356d05fb55fb95f55bec9fc04
- bc7a34379602f9f061bdb94ec65e8e46da0257d511022a17d2555adbd4b1dd38
- ce26aac9ba7be60bfb998ba6add6b34da5a68506e9fea9844dc44bafe3cab676
- f4229128ef642d299f7ab5fbcb6de75a17d12f30f22a3985044c8b1b44f1768f
