Securonix 研究人员发现,不明攻击者正试图诱骗 Windows 用户启动一个带有预配置后门的定制 Linux 虚拟机(VM)。攻击活动他们认为,攻击始于一封网络钓鱼电子邮件,但无法确定目标受害者。该电子邮件包含一个指向异常大的 ZIP 文件(285 MB)的链接,其名称 OneAmerica Survey.zip 指向了可能的诱惑:由提供金融服务的美国公司 OneAmerica Financial 发起的一项调查。研究人员解释说:“当用户解压缩时,会看到一个名为‘OneAmerica Survey’的文件(快捷方式)和一个包含整个 QEMU 安装目录的‘data’目录。”研究人员解释说,”如果用户点击快捷方式文件,就会启动一个进程:ZIP 文件被 “解压缩”,其内容被放入用户的配置文件目录下一个名为 “datax ”的目录中执行批处理 (BAT) 文件,并显示一个诱饵图像,提示 “服务器内部出错”,同时在后台执行一个(重命名的)QEMU 进程和命令行,以启动模拟的 Tiny Core Linux 环境定制的 Linux 虚拟机旨在通过启动 SSH 连接在主机上创建一个交互式 shell(本质上是后门),攻击者可以通过该 shell 下载更多恶意有效载荷:下载其他恶意有效载荷在机器上安装其他工具重命名文件修改系统配置通过系统和用户枚举进行基本侦察渗出数据“就像下棋一样,攻击者在准备他们的环境时就考虑到了策略。他们系统地安装、测试和执行了多个有效载荷和配置,每个都是为下一阶段做准备,”研究人员指出。研究人员指出:“使用 bootlocal.sh 和 SSH 密钥表明,他们的目标是在机器上建立可靠的存在。有几次,他们从不同的 URL 下载了 crondx 文件(预配置 Chisel 客户端)。原因不明,但我们推测他们可能在修改有效载荷,直到其功能达到预期。”诱饵镜像(来源:Securonix)Chisel 客户端经过预配置,可通过网络套接字自动连接到指定的命令与控制(C2)服务器,从而打开一个持久后门,攻击者可通过该后门访问被入侵的环境。逃避检测传统的防病毒解决方案通常无法(或默认情况下不会)扫描超大文件,也无法查看仿真 Linux 环境中发生的情况。研究人员补充说:“Chisel 的设计使其在创建隐蔽的通信渠道和穿越防火墙隧道方面尤为有效,而且往往能躲过网络监控工具的监控。”“攻击者对 QEMU 和 Chisel 等合法软件的依赖增加了额外的规避层,因为这些工具在许多环境中都不太可能触发警报。”Securonix 分享了与此活动相关的危害指标,并建议企业监控常见的恶意软件暂存目录,监控从异常位置执行合法软件的实例,使用强大的端点日志来帮助 PowerShell 检测。
