Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Хакеры маскируют атаки на Windows через QEMU

06/11/24

images - 2024-11-06T145840.636

Специалисты Securonix обнаружили необычную кибератаку под названием CRON#TRAP. Хакеры используют вредоносный ярлык, который после запуска запускает скрытую кастомизированную версию Linux с помощью программы QEMU. Такой механизм позволяет атакующим незаметно присутствовать на компьютере жертвы и управлять им, обходя защитные программы, пишет Securitylab.

QEMU — легальный инструмент для виртуализации, поэтому его наличие обычно не вызывает подозрений. В атаке злоумышленники настроили QEMU на запуск небольшой версии Linux — Tiny Core Linux со встроенным бэкдором . Программа автоматически связывается с C2-сервером, открывая хакерам постоянный доступ для управления системой.

Исследователи считают, что заражение началось с фишингового письма. В письме находился файл «OneAmerica Survey.zip» размером 285 МБ, в котором был ярлык и директория с QEMU. Пользователь, распаковав архив, видит только ярлык, который при запуске начинает цепочку действий: сначала показывает сообщение об ошибке, а затем запускает QEMU, замаскированный под файл с названием «fontdiag.exe». В скрытой Linux-среде хакеры могут взаимодействовать с основной системой, используя специальные команды, например, для получения данных о пользователе.

Кроме того, в виртуальной системе PivotBox злоумышленники установили программы, которые помогают следить за сетью, загружать файлы и сохранять изменения. Один из ключевых инструментов — файл «crondx», являющийся модифицированной версией программы Chisel. Инструмент позволяет скрытно передавать данные через фаерволы, создавая постоянное зашифрованное соединение с сервером хакеров.

Темы:WindowsLinuxУгрозыSecuronix
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...