- Versteckte virtuelle Maschinen ermöglichen es Angreifern, die Endpunktsicherheit zu umgehen und unentdeckt zu bleiben
- Angreifer nutzten vertrauenswürdige Virtualisierungstools und integrierte Software, um bösartige Aktivitäten zu verschleiern
- Sophos verknüpft Kampagnen, die QEMU verwenden, mit der Bereitstellung von Ransomware und langfristigem Netzwerkzugriff
Angreifer verstecken zunehmend bösartige Tools in virtuellen Maschinen, um Sicherheitskontrollen zu umgehen.
Laut Sophos-Analysten beruht der Ansatz auf Virtualisierungssoftware, die von Sicherheitssystemen häufig als legitime Aktivität behandelt wird.
Bei jüngsten Vorfällen nutzten Angreifer QEMU, einen Open-Source-Maschinenemulator und Virtualisierer, um versteckte Umgebungen zu betreiben, in denen bösartige Aktivitäten für die Endpunktverteidigung weitgehend unsichtbar blieben und nur minimale Spuren auf dem Hostsystem hinterließen.
Der Artikel wird weiter unten fortgesetzt
Ein wachsender Ausweichtrend
Sophos stellt fest, dass die Methode zwar nicht neu ist, aber wieder an Bedeutung gewonnen hat, da seit Ende letzten Jahres zwei aktive Kampagnen identifiziert wurden, die als STAC4713 und STAC3725 verfolgt werden.
In der STAC4713-Kampagne erstellten Angreifer eine geplante Aufgabe namens TPMProfiler, um eine versteckte virtuelle QEMU-Maschine mit Systemberechtigungen zu starten.
Die virtuelle Maschine verwendete getarnte Disk-Images, die zunächst als Datenbankdateien auftraten und sich später als dynamische Linkbibliotheken tarnten.
Nach dem Start richtete die virtuelle Maschine Reverse-SSH-Tunnel ein, die verdeckte Fernzugriffskanäle schufen und es Angreifern ermöglichten, Tools auszuführen und Domänenanmeldeinformationen zu sammeln, ohne die Aktivität herkömmlichen Sicherheitstools auszusetzen.
Die Ermittler von Sophos beobachteten außerdem, dass Angreifer integrierte Windows-Dienstprogramme wie Microsoft Paint, Notepad und Edge für den Dateizugriff und die Netzwerkerkennung nutzten. Dabei wurde in hohem Maße auf vertrauenswürdige Software zurückgegriffen, um böswillige Aktionen in das routinemäßige Systemverhalten zu integrieren.
Bei älteren Einbrüchen im Zusammenhang mit der Kampagne wurden exponierte VPN-Systeme ohne Multi-Faktor-Authentifizierung genutzt, während bei späteren Vorfällen eine Schwachstelle im SolarWinds Web Help Desk mit der Bezeichnung CVE-2025-26399 ausgenutzt wurde. Diese unterschiedlichen Einstiegspunkte zeigen Angreifern, dass sie ihre Taktik je nach vorhandenen Schwachstellen anpassen.
Sophos verknüpft die STAC4713-Kampagne mit der Ransomware PayoutsKing, die sich auf die Verschlüsselung virtualisierter Umgebungen konzentriert.
Die Gruppe hinter der Ransomware zielt offenbar auf Hypervisoren ab und stellt Tools bereit, die auf VMware- und ESXi-Systemen eingesetzt werden können.
Die zweite Kampagne, STAC3725, nutzte die Schwachstelle CitrixBleed2 aus, um vor der Installation von Fernzugriffssoftware ersten Zugriff zu erhalten.
Anschließend starteten die Angreifer eine virtuelle QEMU-Maschine, um manuell Angriffstools für den Diebstahl von Anmeldedaten und die Netzwerkaufklärung zusammenzustellen.
Anstatt vorgefertigte Payloads bereitzustellen, kompilierten die Angreifer ihre Toolsets innerhalb der virtuellen Maschine, nachdem sie Zugriff erhalten hatten. Dieser Ansatz ermöglichte es ihnen, Angriffe individuell anzupassen und die Wahrscheinlichkeit einer Erkennung durch signaturbasierte Abwehrmaßnahmen zu verringern.
Sophos warnt davor, dass das Verstecken von Aktivitäten in virtuellen Maschinen einen wachsenden Trend zur Umgehung darstellt. Starker Endpunktschutz, Netzwerküberwachung und rechtzeitiges Patchen exponierter Systeme sind entscheidend für die Risikominderung.
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten.
