Bedrohungsakteure haben den QEMU Open-Source-Hardware-Emulator als Tunnelsoftware in einem Cyberangriff auf ein „großes Unternehmen“ genutzt, um eine Verbindung zu dessen Infrastruktur herzustellen.
Obwohl eine Reihe legitimer Tunneling-Tools wie Chisel, FRP, ligolo, ngrok und Plink von Angreifern zu ihrem Vorteil genutzt wurden, markiert die Entwicklung das erste Mal, dass QEMU für diesen Zweck verwendet wurde.
„Wir haben festgestellt, dass QEMU Verbindungen zwischen virtuellen Maschinen unterstützt: Die Option -netdev erstellt Netzwerkgeräte (Backend), die dann eine Verbindung zu den virtuellen Maschinen herstellen können“, sagten die Kaspersky-Forscher Grigory Sablin, Alexander Rodchenko und Kirill Magaskin.
„Jedes der zahlreichen Netzwerkgeräte wird durch seinen Typ definiert und unterstützt zusätzliche Optionen.“
Mit anderen Worten, es geht darum, eine virtuelle Netzwerkschnittstelle und eine netzwerkbasierte Schnittstelle vom Typ Socket zu erstellen, wodurch die virtuelle Maschine mit jedem entfernten Server kommunizieren kann.
Das russische Cybersicherheitsunternehmen gab an, dass es QEMU nutzen konnte, um einen Netzwerktunnel von einem internen Host innerhalb des Unternehmensnetzwerks, der keinen Internetzugang hatte, zu einem Pivot-Host mit Internetzugang einzurichten, der mit dem Server des Angreifers in der Cloud, auf dem der Emulator läuft, verbunden ist.
Die Ergebnisse zeigen, dass Bedrohungsakteure kontinuierlich ihre Angriffsstrategien diversifizieren, um ihren bösartigen Verkehr mit tatsächlichen Aktivitäten zu vermischen und ihre operativen Ziele zu erreichen.
„Das Konzept, dass bösartige Akteure legitime Tools für verschiedene Angriffsschritte verwenden, ist für Experten der Incident Response nichts Neues“, so die Forscher.
„Dies unterstützt weiterhin das Konzept des mehrschichtigen Schutzes, das sowohl zuverlässigen Endpunktschutz als auch spezialisierte Lösungen für die Erkennung und den Schutz vor komplexen und gezielten Angriffen, einschließlich solcher, die von Menschen gesteuert werden, umfasst.“