کمیته رکن چهارم – باجافزار Payouts King با بهرهگیری از ابزار مجازیسازی QEMU، ماشینهای مجازی مخفی ایجاد کرده و کنترلهای امنیتی را دور میزند. این روش امکان ایجاد دسترسی پنهان و اجرای بدافزار خارج از دید ابزارهای امنیتی را فراهم میکند.
به گزارش کمیته رکن چهارم، مهاجمان در این حملات از نرمافزار قانونی QEMU برای راهاندازی ماشینهای مجازی مخفی روی سیستمهای آلوده استفاده میکنند. این ماشینها بهعنوان بکدور SSH معکوس عمل کرده و به مهاجم اجازه میدهند بدون جلب توجه، به سیستم دسترسی پایدار داشته باشد. اجرای فعالیتهای مخرب در داخل این محیطهای مجازی باعث میشود بسیاری از ابزارهای امنیتی قادر به شناسایی رفتارهای مخرب نباشند.
بررسیها نشان میدهد در یکی از کمپینها، مهاجمان با ایجاد وظایف زمانبندیشده و اجرای QEMU با سطح دسترسی بالا، یک سیستمعامل لینوکسی سبک را درون سیستم قربانی اجرا کردهاند. این محیط برای اجرای ابزارهای مختلف، ایجاد تونلهای ارتباطی و مدیریت عملیات نفوذ مورد استفاده قرار گرفته است. در کمپینی دیگر نیز پس از نفوذ اولیه، با ایجاد حسابهای کاربری و نصب ابزارهای دسترسی از راه دور، زیرساخت لازم برای اجرای ماشین مجازی مخفی فراهم شده است.
در این حملات، مهاجمان پس از دسترسی اولیه، اقدام به سرقت اطلاعات حساس از جمله دادههای مربوط به سامانههای احراز هویت کرده و از ابزارهایی برای جمعآوری و انتقال اطلاعات استفاده میکنند. همچنین استفاده از تکنیکهای پنهانسازی و غیرفعالسازی ابزارهای امنیتی، شناسایی این فعالیتها را دشوارتر کرده است.
پیشینه
در سالهای اخیر، استفاده از ابزارهای قانونی برای انجام فعالیتهای مخرب افزایش یافته است. این رویکرد که به استفاده از ابزارهای موجود سیستم برای حمله اشاره دارد، به مهاجمان کمک میکند تا فعالیت خود را در میان ترافیک و رفتارهای عادی پنهان کنند. استفاده از ماشینهای مجازی در این چارچوب، مرحلهای پیشرفتهتر از این روند محسوب میشود.
منبع: BleepingComputer
