Peneliti keamanan siber telah menandai kampanye malware baru yang menginfeksi sistem Windows dengan mesin virtual Linux yang berisi pintu belakang yang mampu membuat akses jarak jauh ke host yang disusupi.
Kampanye yang “menarik”, diberi nama sandi CRON#PERANGKATdimulai dengan file pintasan Windows (LNK) berbahaya yang kemungkinan besar didistribusikan dalam bentuk arsip ZIP melalui email phishing.
“Apa yang membuat kampanye CRON#TRAP sangat memprihatinkan adalah bahwa contoh Linux yang diemulasi sudah dikonfigurasi sebelumnya dengan pintu belakang yang secara otomatis terhubung ke server perintah dan kontrol (C2) yang dikendalikan penyerang,” kata peneliti Securonix Den Iuzvyk dan Tim Peck. dalam sebuah analisis.
“Pengaturan ini memungkinkan penyerang untuk mempertahankan keberadaannya secara diam-diam di mesin korban, melakukan aktivitas berbahaya lebih lanjut dalam lingkungan yang tersembunyi, sehingga membuat deteksi menjadi sulit untuk solusi antivirus tradisional.”
Pesan phishing tersebut dimaksudkan sebagai “survei OneAmerica” yang dilengkapi dengan arsip ZIP berukuran 285MB yang, ketika dibuka, akan memicu proses infeksi.
Sebagai bagian dari kampanye serangan yang belum diatribusikan, file LNK berfungsi sebagai saluran untuk mengekstrak dan memulai lingkungan Linux khusus yang ringan yang ditiru melalui Quick Emulator (QEMU), alat virtualisasi sumber terbuka yang sah. Mesin virtual berjalan pada Tiny Core Linux.
Pintasan tersebut kemudian meluncurkan perintah PowerShell yang bertanggung jawab untuk mengekstraksi ulang file ZIP dan menjalankan skrip “start.bat” yang tersembunyi, yang, pada gilirannya, menampilkan pesan kesalahan palsu kepada korban untuk memberi mereka kesan bahwa tautan survei tidak ada lagi. bekerja.
Namun di latar belakang, ia menyiapkan lingkungan Linux virtual QEMU yang disebut sebagai PivotBox, yang dilengkapi dengan utilitas terowongan Chisel, memberikan akses jarak jauh ke host segera setelah startup instance QEMU.
“Biner tersebut tampaknya merupakan klien Chisel yang telah dikonfigurasi sebelumnya dan dirancang untuk terhubung ke server Command and Control (C2) jarak jauh di 18.208.230[.]174 melalui websockets,” kata para peneliti. “Pendekatan para penyerang secara efektif mengubah klien Chisel ini menjadi pintu belakang penuh, memungkinkan perintah jarak jauh dan mengendalikan lalu lintas mengalir masuk dan keluar dari lingkungan Linux.”
Perkembangan ini adalah salah satu dari banyak taktik yang terus berkembang yang digunakan pelaku ancaman untuk menargetkan organisasi dan menyembunyikan aktivitas jahat — contohnya adalah kampanye spear-phishing yang telah diamati menargetkan perusahaan-perusahaan manufaktur, teknik, dan industri elektronik di negara-negara Eropa untuk mengirimkan malware GuLoader yang mengelak.
“Email tersebut biasanya berisi pertanyaan pesanan dan berisi lampiran file arsip,” kata peneliti Keamanan Cado, Tara Gould. “Email tersebut dikirim dari berbagai alamat email termasuk dari perusahaan palsu dan akun yang disusupi. Email tersebut biasanya membajak rangkaian email yang ada atau meminta informasi tentang pesanan.”
Aktivitas tersebut, yang sebagian besar menargetkan negara-negara seperti Rumania, Polandia, Jerman, dan Kazakhstan, dimulai dengan file batch yang ada di dalam file arsip. File batch menyematkan skrip PowerShell yang dikaburkan yang kemudian mengunduh skrip PowerShell lain dari server jauh.
Skrip PowerShell sekunder mencakup fungsionalitas untuk mengalokasikan memori dan pada akhirnya mengeksekusi kode shell GuLoader untuk mengambil payload tahap berikutnya.
“Malware Guloader terus mengadaptasi tekniknya untuk menghindari deteksi guna mengirimkan RAT,” kata Gould. “Aktor-aktor ancaman terus menargetkan industri tertentu di negara-negara tertentu. Ketahanannya menyoroti perlunya langkah-langkah keamanan yang proaktif.”