06/11/24
Специалисты Securonix обнаружили необычную кибератаку под названием CRON#TRAP. Хакеры используют вредоносный ярлык, который после запуска запускает скрытую кастомизированную версию Linux с помощью программы QEMU. Такой механизм позволяет атакующим незаметно присутствовать на компьютере жертвы и управлять им, обходя защитные программы, пишет Securitylab.
QEMU — легальный инструмент для виртуализации, поэтому его наличие обычно не вызывает подозрений. В атаке злоумышленники настроили QEMU на запуск небольшой версии Linux — Tiny Core Linux со встроенным бэкдором . Программа автоматически связывается с C2-сервером, открывая хакерам постоянный доступ для управления системой.
Исследователи считают, что заражение началось с фишингового письма. В письме находился файл «OneAmerica Survey.zip» размером 285 МБ, в котором был ярлык и директория с QEMU. Пользователь, распаковав архив, видит только ярлык, который при запуске начинает цепочку действий: сначала показывает сообщение об ошибке, а затем запускает QEMU, замаскированный под файл с названием «fontdiag.exe». В скрытой Linux-среде хакеры могут взаимодействовать с основной системой, используя специальные команды, например, для получения данных о пользователе.
Кроме того, в виртуальной системе PivotBox злоумышленники установили программы, которые помогают следить за сетью, загружать файлы и сохранять изменения. Один из ключевых инструментов — файл «crondx», являющийся модифицированной версией программы Chisel. Инструмент позволяет скрытно передавать данные через фаерволы, создавая постоянное зашифрованное соединение с сервером хакеров.
