Μια νέα καμπάνια phishing με την ονομασία «CRON#TRAP» μολύνει τα Windows με μια εικονική μηχανή Linux που περιέχει ενσωματωμένο backdoor, για να παρέχει μυστική πρόσβαση σε εταιρικά δίκτυα.
Δείτε επίσης: Pygmy Goat backdoor εντοπίστηκε σε παραβιασμένα Sophos XG Firewall
Η χρήση εικονικών μηχανών για τη διεξαγωγή επιθέσεων δεν είναι κάτι καινούργιο, καθώς οι συμμορίες ransomware και οι cryptominers τα χρησιμοποιούν για να εκτελούν κρυφά κακόβουλη δραστηριότητα. Ωστόσο, οι χάκερ συνήθως τα εγκαθιστούν με μη αυτόματο τρόπο αφού παραβιάσουν ένα δίκτυο.
Η νέα καμπάνια CRON#TRAP που εντόπισαν ερευνητές της Securonix χρησιμοποιεί αντ ‘αυτού τα μηνύματα ηλεκτρονικού “phishing” για να πραγματοποιήσει εγκαταστάσεις εικονικών μηχανών Linux χωρίς επίβλεψη, για να παραβιάσει και να κερδίσει μόνιμη πρόσβαση σε εταιρικά δίκτυα.
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
Τα μηνύματα ηλεκτρονικού phishing προσποιούνται ότι είναι μια “έρευνα της OneAmerica” που περιλαμβάνει ένα μεγάλο αρχείο ZIP 285 MB για την εγκατάσταση ενός Linux VM με προεγκατεστημένο backdoor. Αυτό το αρχείο ZIP περιέχει μια συντόμευση των Windows με το όνομα “OneAmerica Survey.lnk” και έναν φάκελο “data” που περιέχει την εφαρμογή εικονικής μηχανής QEMU, με το κύριο εκτελέσιμο αρχείο μεταμφιεσμένο ως fontdiag.exe.
Όταν εκκινηθεί η συντόμευση, εκτελεί μια εντολή PowerShell για να εξάγει το αρχείο λήψης στο φάκελο “%UserProfile%\datax” και στη συνέχεια να εκκινήσει το “start.bat” για να ρυθμίσει και να εκκινήσει μια προσαρμοσμένη εικονική μηχανή QEMU Linux στη συσκευή. Κατά την εγκατάσταση της εικονικής μηχανής, το ίδιο αρχείο δέσμης θα εμφανίζει ένα αρχείο PNG που έχει ληφθεί από μια απομακρυσμένη τοποθεσία που δείχνει ένα ψεύτικο σφάλμα διακομιστή ως δόλωμα, υποδηλώνοντας έναν κατεστραμμένο σύνδεσμο προς την έρευνα.
Δείτε ακόμα: Βορειοκορεάτες χάκερ χρησιμοποιούν το νέο VeilShell Backdoor
Το προσαρμοσμένο TinyCore Linux VM με το όνομα «PivotBox» έχει προεγκατεστημένο ένα backdoor που διασφαλίζει τη μόνιμη επικοινωνία C2, επιτρέποντας στους εισβολείς να λειτουργούν στο παρασκήνιο.
Δεδομένου ότι το QEMU είναι ένα νόμιμο εργαλείο που είναι επίσης ψηφιακά υπογεγραμμένο, τα Windows δεν εμφανίζουν προειδοποιήσεις σχετικά με την εκτέλεσή του και τα εργαλεία ασφαλείας δεν μπορούν να ελέγξουν ποια κακόβουλα προγράμματα εκτελούνται μέσα στην εικονική μηχανή.
Στην καρδιά του backdoor βρίσκεται ένα εργαλείο που ονομάζεται Chisel, ένα πρόγραμμα διοχέτευσης σήραγγας δικτύου που είναι προρυθμισμένο για τη δημιουργία ασφαλών καναλιών επικοινωνίας με έναν συγκεκριμένο διακομιστή εντολών και ελέγχου (C2) μέσω WebSockets. Το Chisel διοχετεύει δεδομένα μέσω HTTP και SSH, επιτρέποντας στους εισβολείς να επικοινωνούν με το backdoor στον παραβιασμένο κεντρικό υπολογιστή, ακόμα κι αν ένα τείχος προστασίας προστατεύει το δίκτυο. Για μόνιμη πρόσβαση, το περιβάλλον QEMU έχει ρυθμιστεί να ξεκινά αυτόματα μετά την επανεκκίνηση του κεντρικού υπολογιστή μέσω τροποποιήσεων «bootlocal.sh». Ταυτόχρονα, δημιουργούνται και αποστέλλονται κλειδιά SSH για να αποφευχθεί ο εκ νέου έλεγχος ταυτότητας.
Η Securonix επισημαίνει δύο εντολές, τις «get-host-shell» και «get-host-user» της καμπάνιας CRON#TRAP. Η πρώτη δημιουργεί ένα διαδραστικό κέλυφος στον κεντρικό υπολογιστή, επιτρέποντας την εκτέλεση εντολών, ενώ η δεύτερη χρησιμοποιείται για τον καθορισμό των προνομίων. Οι εντολές που μπορούν να εκτελεστούν περιλαμβάνουν ενέργειες επιτήρησης, διαχείρισης δικτύου και ωφέλιμου φορτίου, διαχείριση αρχείων και λειτουργίες εξαγωγής δεδομένων, έτσι ώστε οι εισβολείς να έχουν ένα ευέλικτο σύνολο που τους επιτρέπει να προσαρμοστούν στον στόχο και να εκτελούν επιβλαβείς ενέργειες.
Δείτε επίσης: Spear-phishing καμπάνια μολύνει υπεύθυνους προσλήψεων με το backdoor More_eggs
Τα backdoors αποτελούν σημαντική ανησυχία για την ασφάλεια στον τομέα της τεχνολογίας πληροφοριών. Είναι μυστικές μέθοδοι παράκαμψης κανονικών διαδικασιών ελέγχου ταυτότητας, που επιτρέπουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα, δίκτυα ή εφαρμογές λογισμικού. Συνήθως, τα backdoors εγκαθίστανται από εισβολείς που έχουν αποκτήσει προηγούμενη πρόσβαση ή από προγραμματιστές λογισμικού ως εργαλείο εντοπισμού σφαλμάτων, το οποίο αργότερα γίνεται αντικείμενο εκμετάλλευσης. Αυτά τα κρυφά σημεία εισόδου μπορεί να είναι δύσκολο να εντοπιστούν και μπορεί να θέσουν σε κίνδυνο την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα των ευαίσθητων δεδομένων. Η προστασία των συστημάτων από backdoors απαιτεί ολοκληρωμένα μέτρα ασφαλείας, συμπεριλαμβανομένων τακτικών ελέγχων, παρακολούθησης και χρήσης ενημερωμένων εργαλείων ασφαλείας για τη διασφάλιση της άμεσης αντιμετώπισης των τρωτών σημείων.
Πηγή: bleepingcomputer