主要观点总结
本文介绍了一种名为“CRON#TRAP”的新网络钓鱼活动,该活动通过Linux虚拟机感染Windows系统,并在企业网络中实施持久性攻击。该虚拟机包含内置后门,允许攻击者在后台操作。文章详细描述了该活动的执行过程,包括使用网络钓鱼电子邮件、QEMU虚拟机、Chisel工具等进行感染和实施攻击的过程。
关键观点总结
关键观点1: 新的网络钓鱼活动“CRON#TRAP”利用Linux虚拟机感染Windows系统。
该活动使用网络钓鱼电子邮件发送带有后门的Linux虚拟机,攻击者可以秘密访问公司网络并执行恶意活动。
关键观点2: Linux虚拟机包含内置后门。
后门允许攻击者在后台操作,包括在受感染主机上执行命令、监视网络活动、管理有效负载等。
关键观点3: 攻击者使用QEMU虚拟机来执行攻击。
QEMU是一个经过数字签名的合法工具,因此Windows不会对其发出警报,安全工具也无法检查虚拟机内运行的恶意程序。
关键观点4: 攻击者使用Chisel工具进行通信。
Chisel通过HTTP和SSH传输数据,允许攻击者与受感染主机上的后门进行通信,即使在网络防火墙的保护下也能实现通信。
关键观点5: 防御此类攻击的建议。
为了检测和阻止这些攻击,建议监视从用户可访问的文件夹执行的“qemu.exe”等进程,将QEMU和其他虚拟化套件放入阻止列表中,并从系统BIOS禁用或阻止关键设备上的虚拟化。
文章预览
一种名为“CRON#TRAP”的新网络钓鱼活动通过 Linux 虚拟机感染 Windows,该虚拟机包含内置后门,可以秘密访问公司网络。 使用虚拟机进行攻击并不是什么新鲜事,勒索软件团伙和加密货币挖矿者利用虚拟机来秘密执行恶意活动。然而,威胁者通常在破坏网络后手动安装这些软件。 Securonix 研究人员发现的一项新活动是使用网络钓鱼电子邮件执行无人值守的 Linux 虚拟机安装,以破坏企业网络并获得持久性。 网络钓鱼电子邮件伪装成“OneAmerica 调查”,其中包含一个 285MB 的大型 ZIP 存档,用于安装预装后门的 Linux 虚拟机。 该 ZIP 文件包含一个名为“OneAmerica Survey.lnk”的 Windows 快捷方式和一个包含 QEMU 虚拟机应用程序的“data”文件夹,其中主要可执行文件伪装为 fontdiag.exe。 启动快捷方式时,它会执行 PowerShell 命令将下载的存档解压到“%UserProfile%\datax”
………………………………
