Serangan melalui operasi pengelabuan mesin virtual merupakan ancaman yang cukup efektif dalam menjaring korban. Mari kita bahas lebih lanjut.
Operasi phising baru yang dijuluki ‘CRON#TRAP’ menginfeksi Windows dengan mesin virtual Linux yang berisi backdoor bawaan untuk memberikan akses tersembunyi ke jaringan perusahaan.
Menggunakan mesin virtual untuk melakukan serangan bukanlah hal baru, hal ini biasa dilakukan oleh geng ransomware dan penambang kripto
Mereka menggunakannya dalam aktivitas jahat secara diam-diam. Jika berhasil kemudian pelaku ancaman biasanya menginstalnya secara manual setelah mereka membobol jaringan.
Operasi baru yang ditemukan oleh peneliti siber malah menggunakan email phising untuk melakukan instalasi mesin virtual Linux tanpa pengawasan untuk membobol dan mendapatkan persistensi pada jaringan perusahaan.
Operasi Pengelabuan Mesin Virtual
Email phising berpura-pura menjadi “survei OneAmerica” yang menyertakan arsip ZIP berukuran 285 MB untuk menginstal VM Linux dengan backdoor yang telah diinstal sebelumnya.
File ZIP ini berisi pintasan Windows bernama “OneAmerica Survey.lnk” dan folder “data” yang berisi aplikasi mesin virtual QEMU, dengan executable utama yang disamarkan sebagai fontdiag.exe.
Saat pintasan diluncurkan, pintasan tersebut menjalankan perintah PowerShell untuk mengekstrak arsip yang diunduh ke folder “%UserProfile%\datax” dan kemudian meluncurkan “start.bat” untuk menyiapkan dan meluncurkan mesin virtual QEMU Linux kustom di perangkat tersebut.
Saat mesin virtual sedang diinstal, file batch yang sama akan menampilkan file PNG yang diunduh dari situs jarak jauh yang menunjukkan kesalahan server palsu sebagai umpan, yang menyiratkan tautan rusak ke survei tersebut.
VM TinyCore Linux kustom bernama ‘PivotBox’ telah dimuat sebelumnya dengan backdoor yang mengamankan komunikasi C2 yang persisten, yang memungkinkan penyerang untuk beroperasi di latar belakang.
Karena QEMU adalah alat yang sah yang juga ditandatangani secara digital, Windows tidak membunyikan alarm apa pun tentang pengoperasiannya, dan alat keamanan tidak dapat memeriksa program jahat apa yang berjalan di dalam mesin virtual tersebut.
Operasi Backdoor
Inti dari backdoor adalah alat yang disebut Chisel, program tunneling jaringan yang telah dikonfigurasi sebelumnya untuk membuat saluran komunikasi yang aman dengan server perintah dan kontrol (C2) tertentu melalui WebSockets.
Chisel menyalurkan data melalui HTTP dan SSH, yang memungkinkan penyerang untuk berkomunikasi dengan backdoor pada host yang disusupi bahkan jika firewall melindungi jaringan.
Untuk persistensi, lingkungan QEMU diatur untuk memulai secara otomatis setelah host melakukan boot ulang melalui modifikasi ‘bootlocal.sh’. Pada saat yang sama, kunci SSH dibuat dan diunggah untuk menghindari keharusan melakukan autentikasi ulang.
Para peneliti menyoroti dua perintah, yaitu:
- get-host-shell: memunculkan shell interaktif pada host, yang memungkinkan eksekusi perintah.
- Get-host-user: perintah ini digunakan untuk menentukan hak istimewa.
Perintah yang dapat dijalankan kemudian mencakup:
- Pengawasan.
- Tindakan manajemen jaringan dan muatan.
- Manajemen berkas.
- Operasi eksfiltrasi data.
Sehingga penyerang memiliki perangkat serbaguna yang memungkinkan mereka beradaptasi dengan target dan melakukan tindakan yang merusak.
Mempertahankan Diri dari Penyalahgunaan Qemu
OperasiCRON#TRAP bukanlah kejadian pertama peretas yang menyalahgunakan QEMU untuk membuat komunikasi tersembunyi ke server C2 mereka.
Pada bulan Maret 2024, dilaporkan operasi lain di mana pelaku ancaman menggunakan QEMU untuk membuat antarmuka jaringan virtual dan perangkat jaringan jenis soket untuk terhubung ke server jarak jauh.
Dalam kasus tersebut, backdoor yang sangat ringan yang tersembunyi di dalam mesin virtual Kali Linux yang berjalan hanya pada RAM 1MB digunakan untuk menyiapkan kanal komunikasi rahasia.
Untuk mendeteksi dan memblokir serangan ini,:
- Pertimbangkan untuk menempatkan monitor untuk proses seperti ‘qemu.exe’ yang dijalankan dari folder yang dapat diakses pengguna,
- Masukkan QEMU dan rangkaian virtualisasi lainnya dalam daftar blokir.
- Dan nonaktifkan atau blokir virtualisasi secara umum pada perangkat penting dari BIOS sistem.
Baca lainnya:
- Hacker Catut Nama Bank
- Phising Merek Terkenal
- Mencegah Pengelabuan Microsoft OneNote
- Email dan Keamanan Email
- Phising ChatGPT
- Alarm Peringatan Scammer
- Pemulihan Serangan Phising
- Kerugian dan Keterbatasan Email
- Incaran Hacker
- Penipuan World Cup 2022
Sumber berita: