Istraživači cyber sigurnosti označili su novu kampanju malicioznog softvera koja inficira Windows sisteme virtuelnom instancom Linuxa koja sadrži backdoor koji može uspostaviti udaljeni pristup kompromitovanim hostovima.
“Intrigantna” kampanja, kodnog naziva CRON#TRAP , počinje sa maliciozni Windows prečicom (LNK) datotekom koja se vjerovatno distribuira u obliku ZIP arhive putem phishing e-pošte.
“Ono što CRON#TRAP kampanju čini posebno zabrinjavajućom je to što emulirana Linux instanca dolazi unaprijed konfigurisana sa backdoorom koji se automatski povezuje sa serverom za komandu i kontrolu (C2) koji kontroliše napadač”, rekli su istraživači Securonixa Den Iuzvyk i Tim Peck u analizi.
“Ova postavka omogućava napadaču da zadrži skriveno prisustvo na žrtvinoj mašini, inscenira dalje maliciozne aktivnosti unutar skrivenog okruženja, čineći otkrivanje izazovnim za tradicionalna antivirusna rešenja.”
Poruke za krađu identiteta navodno su “OneAmerica anketa” koja dolazi s velikom ZIP arhivom od 285 MB koja, kada se otvori, pokreće proces zaraze.
Kao dio još uvijek nepripisane napadne kampanje, LNK datoteka služi kao kanal za ekstrakciju i pokretanje laganog, prilagođenog Linux okruženja emuliranog putem Quick Emulatora ( QEMU ), legitimnog alata za virtuelizaciju otvorenog koda. Virtuelna mašina radi na Tiny Core Linuxu.
Prečica zatim pokreće PowerShell komande odgovorne za ponovno raspakivanje ZIP datoteke i izvršavanje skrivene “start.bat” skripte, koja zauzvrat prikazuje lažnu poruku o grešci žrtvi kako bi imala utisak da veza ankete više nije radi.
Ali u pozadini, postavlja QEMU virtuelno Linux okruženje koje se naziva PivotBox, koje dolazi sa unapred instaliranim uslužnim programom za tuneliranje Chisel, omogućavajući udaljeni pristup hostu odmah nakon pokretanja QEMU instance.
„Izgleda da je binarni program unapred konfigurisan Chisel klijent dizajniran da se poveže sa udaljenim serverom za komandu i kontrolu (C2) na 18.208.230[.]174 preko web-soketa“, rekli su istraživači. „Pristup napadača efektivno transformiše ovaj Chisel klijent u potpuna pozadinska vrata, omogućavajući saobraćaju daljinske komande i kontrole da ulazi i izlazi iz Linux okruženja.“
Razvoj je jedna od mnogih taktika koje se konstantno razvijaju koje hakeri koriste da ciljaju organizacije i prikriju zlonamjerne aktivnosti – u pitanju je kampanja krađe identiteta koja je zapažena usmjerena na proizvodnju elektroničkih, inženjerskih i industrijskih kompanija u evropskim zemljama kako bi isporučiti maliciozni softver GuLoader koji izbjegava .
“E-poruke obično uključuju upite o narudžbi i sadrže privitak arhivske datoteke”, rekla je Tara Gould, istraživačica Cado Security-a . “E-poruke se šalju sa različitih adresa e-pošte, uključujući lažne kompanije i kompromitovane naloge. E-poruke obično otimaju postojeću nit e-pošte ili traže informacije o narudžbi.
Aktivnost, koja je uglavnom ciljala na zemlje poput Rumunije, Poljske, Njemačke i Kazahstana, počinje s batch fajlom koji se nalazi u arhivskom fajlu. Batch datoteka ugrađuje zamagljenu PowerShell skriptu koja naknadno preuzima drugu PowerShell skriptu sa udaljenog servera.
Sekundarna PowerShell skripta uključuje funkcionalnost dodjeljivanja memorije i konačnog izvršavanja GuLoader shell koda kako bi se na kraju dohvatilo korisno opterećenje sljedeće faze.
“Guloader zlonamjerni softver nastavlja prilagođavati svoje tehnike kako bi izbjegao otkrivanje i isporučio RAT-ove”, rekao je Gould. “Učesnici prijetnji kontinuirano ciljaju određene industrije u određenim zemljama. Njegova otpornost naglašava potrebu za proaktivnim mjerama sigurnosti.”
Izvor:The Hacker News