Atores de ameaças estão aproveitando o emulador de hardware de código aberto QEMU como software de tunelamento durante um ataque cibernético direcionado a uma “grande empresa” não especificada para se conectar à sua infraestrutura.
Enquanto várias ferramentas legítimas de tunelamento, como Chisel, FRP, ligolo, ngrok e Plink, foram usadas por adversários a seu favor, o desenvolvimento marca o primeiro QEMU que foi usado para esse fim.
“Descobrimos que o QEMU suportava conexões entre máquinas virtuais: a opção -netdev cria dispositivos de rede (backend) que podem então se conectar às máquinas virtuais”, relataram os pesquisadores da Kaspersky, Grigory Sablin, Alexander Rodchenko e Kirill Magaskin. “
Cada um dos numerosos dispositivos de rede é definido pelo seu tipo e suporta opções extras. Em outras palavras, a ideia é criar uma interface de rede virtual e uma interface de rede do tipo soquete, permitindo assim que a máquina virtual se comunique com qualquer servidor remoto.
A empresa russa de cibersegurança disse que conseguiu usar o QEMU para configurar um túnel de rede de um host interno dentro da rede da empresa que não tinha acesso à internet para um host pivô com acesso à internet, que se conecta ao servidor do atacante na nuvem executando o emulador.
Os resultados mostram que os atores de ameaças estão diversificando continuamente suas estratégias de ataque para mesclar seu tráfego malicioso com atividades reais e alcançar seus objetivos operacionais.
“Os atores maliciosos usando ferramentas legítimas para executar várias etapas de ataque não são novidade para profissionais de resposta a incidentes”, informaram os pesquisadores.
“Isso reforça ainda mais o conceito de proteção em vários níveis, que abrange tanto proteção confiável de endpoints quanto soluções especializadas para detectar e proteger contra ataques complexos e direcionados, incluindo os controlados por humanos.”
Fonte: https://thehackernews.com/2024/03/cybercriminals-utilize-qemu-emulator-as.html
