- Met verborgen virtuele machines kunnen aanvallers de eindpuntbeveiliging omzeilen en onopgemerkt blijven
- Aanvallers gebruiken vertrouwde virtualisatietools en ingebedde software om kwaadaardige activiteiten te verhullen
- Sophos koppelde campagnes met behulp van QEMU aan de verspreiding van ransomware en langdurige netwerktoegang
Aanvallers verbergen steeds vaker kwaadaardige tools in virtuele machines om beveiligingscontroles te omzeilen.
Sophos-analisten zeggen dat deze aanpak afhankelijk is van virtualisatiesoftware die beveiligingssystemen vaak als legitieme activiteit beschouwen.
Bij een recent incident gebruikten aanvallers QEMU, een open source machine-emulator en virtualizer, om een verborgen omgeving te runnen waar de meeste kwaadaardige activiteiten onzichtbaar blijven voor de eindpuntverdediging en weinig bewijs achterlaten op het hostsysteem.
Artikel gaat hieronder verder
Een groeiende trend van vermijding
Sophos merkt op dat, hoewel deze methode niet nieuw is, deze opnieuw aan populariteit wint, met twee actieve campagnes, bijgehouden als STAC4713 en STAC3725, geïdentificeerd sinds eind vorig jaar.
In campagne STAC4713 creëerde de aanvaller een geplande taak met de naam TPMProfiler om een verborgen QEMU virtuele machine te starten onder bevoegdheden op systeemniveau.
De virtuele machine gebruikt een vermomde schijfkopie, die eerst verschijnt als een databasebestand en zich vervolgens voordoet als een dynamische linkbibliotheek.
Eenmaal gelanceerd, creëert de virtuele machine een omgekeerde SSH-tunnel die een geheim kanaal voor externe toegang creëert, waardoor aanvallers tools kunnen uitvoeren en domeinreferenties kunnen verzamelen zonder activiteit bloot te stellen aan traditionele beveiligingstools.
Sophos-onderzoekers observeerden ook dat aanvallers ingebouwde Windows-hulpprogramma’s zoals Microsoft Paint, Kladblok en Edge gebruikten voor toegang tot bestanden en netwerkdetectie. Het is sterk afhankelijk van vertrouwde software om kwaadaardige acties te integreren in routinematig systeemgedrag.
Bij een oudere inbraak die verband hield met de campagne werd gebruik gemaakt van een open VPN-systeem zonder meervoudige authenticatie, terwijl bij een later incident misbruik werd gemaakt van een kwetsbaarheid in de SolarWinds Web Help Desk, bijgehouden als CVE-2025-26399. Deze verschillende toegangspunten suggereren dat aanvallers hun tactieken aanpassen op basis van bestaande zwakke punten.
Sophos koppelde de STAC4713-campagne aan de PayoutsKing-ransomware, die zich richt op het versleutelen van virtuele omgevingen.
De groep achter deze ransomware lijkt zich te richten op hypervisors en tools in te zetten die op VMware- en ESXi-systemen kunnen werken.
De tweede campagne, STAC3725, was gebaseerd op het misbruiken van de CitrixBleed2-kwetsbaarheid om initiële toegang te verkrijgen voordat software voor externe toegang werd geïnstalleerd.
De aanvaller lanceert vervolgens een virtuele QEMU-machine om handmatig aanvalstools samen te stellen voor diefstal van inloggegevens en netwerkverkenning.
In plaats van een kant-en-klare payload te leveren, compileren aanvallers hun tools in een virtuele machine nadat ze toegang hebben verkregen. Met deze aanpak kunnen ze aanvallen aanpassen en de kans op detectie door op handtekeningen gebaseerde verdedigingen verkleinen.
Sophos waarschuwt dat het verbergen van activiteiten binnen virtuele machines een groeiende trend van vermijding vertegenwoordigt. Robuuste eindpuntbescherming, netwerkmonitoring en tijdige patching van blootgestelde systemen zijn van cruciaal belang om de risico’s te beperken.
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om nieuws, recensies en onze deskundige meningen in uw feed te krijgen.
