Cybersecurity-onderzoekers hebben een nieuwe malwarecampagne gemarkeerd die Windows-systemen infecteert met een virtuele Linux-instantie met een achterdeur die externe toegang tot de getroffen hosts tot stand kan brengen.
De “intrigerende” campagne, met de codenaam CRON#TRAPbegint met een kwaadaardig Windows-snelkoppelingsbestand (LNK) dat waarschijnlijk wordt verspreid in de vorm van een ZIP-archief via een phishing-e-mail.
“Wat de CRON#TRAP-campagne bijzonder zorgwekkend maakt, is dat de geëmuleerde Linux-instantie vooraf is geconfigureerd met een achterdeur die automatisch verbinding maakt met een door de aanvaller bestuurde command-and-control (C2)-server”, aldus Securonix-onderzoekers Den Iuzvyk en Tim Peck. in een analyse.
“Deze opstelling stelt de aanvaller in staat om heimelijk aanwezig te zijn op de machine van het slachtoffer, waardoor verdere kwaadaardige activiteiten in een verborgen omgeving kunnen plaatsvinden, waardoor detectie een uitdaging wordt voor traditionele antivirusoplossingen.”
De phishing-berichten beweren een “OneAmerica-enquête” te zijn die wordt geleverd met een groot ZIP-archief van 285 MB dat, wanneer geopend, het infectieproces in gang zet.
Als onderdeel van de nog niet toegeschreven aanvalscampagne dient het LNK-bestand als kanaal voor het extraheren en initiëren van een lichtgewicht, aangepaste Linux-omgeving die wordt geëmuleerd via Quick Emulator (QEMU), een legitieme, open-source virtualisatietool. De virtuele machine draait op Tiny Core Linux.
De snelkoppeling lanceert vervolgens PowerShell-opdrachten die verantwoordelijk zijn voor het opnieuw uitpakken van het ZIP-bestand en het uitvoeren van een verborgen “start.bat”-script, dat op zijn beurt een valse foutmelding weergeeft aan het slachtoffer om hen de indruk te geven dat de enquêtelink niet langer bestaat. werken.
Maar op de achtergrond wordt de QEMU virtuele Linux-omgeving opgezet, ook wel PivotBox genoemd, die vooraf is geladen met het Chisel-tunneling-hulpprogramma, waardoor externe toegang tot de host wordt verleend onmiddellijk na het opstarten van de QEMU-instantie.
“Het binaire bestand lijkt een vooraf geconfigureerde Chisel-client te zijn, ontworpen om via websockets verbinding te maken met een externe Command and Control (C2)-server op 18.208.230(.)174”, aldus de onderzoekers. “De aanpak van de aanvallers transformeert deze Chisel-client effectief in een volledige achterdeur, waardoor commando- en controleverkeer op afstand de Linux-omgeving in en uit kan stromen.”
De ontwikkeling is een van de vele voortdurend evoluerende tactieken die bedreigingsactoren gebruiken om organisaties aan te vallen en kwaadwillige activiteiten te verbergen. Een voorbeeld hiervan is een spearphishing-campagne die is waargenomen gericht op elektronische productie-, engineering- en industriële bedrijven in Europese landen om de ontwijkende GuLoader-malware afleveren.
“De e-mails bevatten doorgaans bestelaanvragen en een archiefbestandsbijlage”, aldus Cado Security-onderzoeker Tara Gould. “De e-mails worden verzonden vanaf verschillende e-mailadressen, waaronder van nepbedrijven en gecompromitteerde accounts. De e-mails kapen doorgaans een bestaande e-mailthread of vragen om informatie over een bestelling.”
De activiteit, die zich vooral richt op landen als Roemenië, Polen, Duitsland en Kazachstan, begint met een batchbestand in het archiefbestand. Het batchbestand bevat een versluierd PowerShell-script dat vervolgens een ander PowerShell-script downloadt van een externe server.
Het secundaire PowerShell-script bevat functionaliteit om geheugen toe te wijzen en uiteindelijk de GuLoader-shellcode uit te voeren om uiteindelijk de payload van de volgende fase op te halen.
“Guloader-malware blijft zijn technieken aanpassen om detectie te omzeilen en RAT’s af te leveren”, aldus Gould. “Dreigingsactoren richten zich voortdurend op specifieke industrieën in bepaalde landen. De veerkracht ervan onderstreept de noodzaak van proactieve veiligheidsmaatregelen.”