Une nouvelle campagne de phishing baptisée « CRON#TRAP » infecte Windows avec une machine virtuelle Linux qui contient une porte dérobée intégrée pour donner un accès furtif aux réseaux d’entreprise.
L’utilisation de machines virtuelles pour mener des attaques n’a rien de nouveau, les gangs de ransomwares et les cryptomineurs les utilisant pour effectuer furtivement des activités malveillantes. Cependant, les auteurs de menaces les installent généralement manuellement après avoir violé un réseau.
Une nouvelle campagne repérée par les chercheurs de Securonix utilise plutôt des courriels de phishing pour effectuer des installations sans surveillance de machines virtuelles Linux afin de violer et de gagner en persistance sur les réseaux d’entreprise.
Les courriels de phishing prétendent être une « enquête OneAmerica » qui comprend une grande archive ZIP de 285 Mo pour installer une machine virtuelle Linux avec une porte dérobée préinstallée.
Ce fichier ZIP contient un raccourci Windows nommé » Enquête OneAmerica.lnk « et un dossier « data »qui contient l’application de machine virtuelle QEMU, avec l’exécutable principal déguisé en fontdiag.exé.
Lorsque le raccourci est lancé, il exécute une commande PowerShell pour extraire l’archive téléchargée dans le dossier « %UserProfile% \ datax », puis lance le « démarrer.bat » pour configurer et lancer une machine virtuelle Linux QEMU personnalisée sur l’appareil.
Pendant l’installation de la machine virtuelle, le même fichier de commandes affichera un fichier PNG téléchargé à partir d’un site distant qui affiche une fausse erreur de serveur comme leurre, impliquant un lien rompu vers l’enquête.
La machine virtuelle Linux TinyCore personnalisée nommée « Pivot Box » est préchargée avec une porte dérobée qui sécurise la communication C2 persistante, permettant aux attaquants d’opérer en arrière-plan.
Étant donné que QEMU est un outil légitime qui est également signé numériquement, Windows ne déclenche aucune alarme à son sujet et les outils de sécurité ne peuvent pas examiner quels programmes malveillants s’exécutent à l’intérieur de la machine virtuelle.
Opérations de porte dérobée
Au cœur de la porte dérobée se trouve un outil appelé Chisel, un programme de tunneling réseau préconfiguré pour créer des canaux de communication sécurisés avec un serveur de commande et de contrôle (C2) spécifique via des WebSockets.
Burin tunnelise les données via HTTP et SSH, permettant aux attaquants de communiquer avec la porte dérobée sur l’hôte compromis même si un pare-feu protège le réseau.
Pour la persistance, l’environnement QEMU est configuré pour démarrer automatiquement après le redémarrage de l’hôte via ‘bootlocal.sh’ modifications. En même temps, des clés SSH sont générées et téléchargées pour éviter d’avoir à se réauthentifier.
Securonix met en évidence deux commandes, à savoir ‘get-host-shell’ et ‘ get-host-user.’Le premier génère un shell interactif sur l’hôte, permettant l’exécution des commandes, tandis que le second est utilisé pour déterminer les privilèges.
Les commandes qui peuvent être exécutées incluent ensuite des actions de surveillance, de gestion de réseau et de charge utile, de gestion de fichiers et d’opérations d’exfiltration de données, de sorte que les attaquants disposent d’un ensemble polyvalent qui leur permet de s’adapter à la cible et d’effectuer des actions dommageables.
Défense contre les abus de QEMU
La campagne CRON # TRAP n’est pas la première occurrence de pirates informatiques abusant de QEMU pour établir des communications furtives avec leur serveur C2.
En mars 2024, Kaspersky a signalé une autre campagne dans laquelle des auteurs de menaces utilisaient QEMU pour créer des interfaces réseau virtuelles et un périphérique réseau de type socket pour se connecter à un serveur distant.
Dans ce cas, une porte dérobée très légère cachée à l’intérieur d’une machine virtuelle Kali Linux fonctionnant avec seulement 1 Mo de RAM a été utilisée pour mettre en place un tunnel de communication secret.
Pour détecter et bloquer ces attaques, envisagez de placer des moniteurs pour des processus tels que ‘ qemu.exe ‘ exécuté à partir de dossiers accessibles par l’utilisateur, placez QEMU et d’autres suites de virtualisation dans une liste de blocage, et désactivez ou bloquez la virtualisation en général sur les périphériques critiques à partir du BIOS système.