Linux

CRON#TRAP」と名付けられた新たなフィッシング・キャンペーンは、企業ネットワークへのステルス・アクセスを可能にするバックドアを内蔵したLinux仮想マシンをWindowsに感染させるものだ。

仮想マシンを使用して攻撃を行うことは、ランサムウェアのギャングや クリプトマイナーがこっそりと悪意のある活動を行うために使用しており、目新しいことではありません。しかし、脅威者は一般的に、ネットワークに侵入した後に手動で仮想マシンをインストールします。

Securonixの研究者が発見した新しいキャンペーンは、Linux仮想マシンの無人インストールを実行するためにフィッシングメールを使用して、企業ネットワークに侵入し、永続性を獲得しています。

このフィッシングメールは、「OneAmericaの調査」を装っており、バックドアがプリインストールされたLinux仮想マシンをインストールするための285MBの大きなZIPアーカイブが含まれています。

このZIPファイルには、「OneAmerica Survey.lnk」という名前のWindowsショートカットと、メイン実行ファイルがfontdiag.exeに偽装されたQEMU仮想マシン・アプリケーションを含む「data」フォルダが含まれています。

ショートカットを起動すると、PowerShell コマンドを実行してダウンロードしたアーカイブを「%UserProfile%datax」フォルダに展開し、「start.bat」を起動してデバイス上にカスタム QEMU Linux 仮想マシンをセットアップして起動します。

Start.bat batch file installing the QEMU Linux virtual machine
QEMU Linux 仮想マシンをインストールする start.bat バッチファイル
ソース

仮想マシンのインストール中に、同じバッチ ファイルがリモート サイトからダウンロードした PNG ファイルを表示し、調査へのリンク切れをほのめかす偽のサーバー エラーをおとりとして表示します。

Image showing fake error
偽のエラーを示す画像
出典:SecuronixSecuronix

PivotBox’と名付けられたカスタムTinyCore Linux VMには、永続的なC2通信を保護するバックドアがプリロードされており、攻撃者がバックグラウンドで操作できるようになっている。

QEMUはデジタル署名された正規のツールであるため、WindowsはQEMUが動作していることに何のアラームも発せず、セキュリティ・ツールは仮想マシン内でどのような悪意のあるプログラムが動作しているかを精査することができない。

LNK file contents
LNKファイルの内容
ソースSecuronix

バックドアの操作

バックドアの中核となるのは、Chiselと呼ばれるツールで、WebSocketを介して特定のコマンド・アンド・コントロール(C2)サーバーと安全な通信チャネルを作成するように事前に設定されたネットワーク・トンネリングプログラムです。

ChiselはHTTPとSSHでデータをトンネリングするため、攻撃者はファイアウォールでネットワークが保護されていても、侵害されたホスト上のバックドアと通信することができる。

永続性を確保するため、QEMU環境は「bootlocal.sh」の修正により、ホストの再起動後に自動的に起動するように設定されている。同時に、再認証の手間を省くためにSSHキーが生成され、アップロードされる。

Securonixでは、「get-host-shell」と「get-host-user」という2つのコマンドを紹介している。最初のコマンドはホスト上で対話型シェルを起動し、コマンドの実行を可能にする。

実行可能なコマンドには、監視、ネットワークおよびペイロード管理操作、ファイル管理、データ流出操作が含まれるため、攻撃者はターゲットに適応し、損害を与える行為を実行することができる多彩なセットを持っている。

Threat actor's command history
脅威行為者のコマンド履歴
出典:Securonix:Securonix

QEMUの悪用からの防御

CRON#TRAP キャンペーンは、ハッカーが QEMU を悪用して C2 サーバーとのステルス通信を確立した初めての事例ではありません。

2024年3月、Kasperskyは、脅威行為者がQEMUを使用して仮想ネットワーク・インターフェースとソケット型ネットワーク・デバイスを作成し、リモート・サーバーに接続する別のキャンペーンを報告しました。

このケースでは、わずか1MBのRAMで動作するKali Linux仮想マシン内に隠された非常に軽いバックドアが、秘密の通信トンネルを設定するために使用されていました。

このような攻撃を検出してブロックするには、ユーザがアクセス可能なフォルダから実行される「qemu.exe」のようなプロセスを監視する、QEMUやその他の仮想化スイートをブロックリストに入れる、システムBIOSから重要なデバイスの仮想化全般を無効にするかブロックする、などを検討する必要がある。