Foram observados atores de ameaças aproveitando o emulador de hardware de código ingénuo QEMU porquê software de tunelamento durante um ataque cibernético direcionado a uma “grande empresa” não identificada para se conectar à sua infraestrutura.
Embora uma série de ferramentas legítimas de tunelamento, porquê Chisel, FRP, ligolo, ngrok e Plink, tenham sido usadas pelos adversários em seu mercê, o desenvolvimento marca o primeiro QEMU usado para esse término.
“Descobrimos que o QEMU suporta conexões entre máquinas virtuais: a opção -netdev cria dispositivos de rede (backend) que podem portanto se conectar às máquinas virtuais”, disseram os pesquisadores da Kaspersky Grigory Sablin, Alexander Rodchenko e Kirill Magaskin.
“Cada um dos numerosos dispositivos de rede é definido pelo seu tipo e suporta opções extras.”
Em outras palavras, a teoria é produzir uma interface de rede virtual e uma interface de rede tipo soquete, permitindo mal a máquina virtual se comunique com qualquer servidor remoto.
A empresa russa de segurança cibernética disse que foi capaz de usar o QEMU para configurar um túnel de rede de um host interno dentro da rede corporativa que não tinha chegada à Internet para um host pivô com chegada à Internet, que se conecta ao servidor do invasor na nuvem executando o emulador.
As descobertas mostram que os agentes de ameaças estão continuamente diversificando as suas estratégias de ataque para combinar o tráfico malicioso com a atividade real e atingir os seus objetivos operacionais.
“Atores maliciosos que usam ferramentas legítimas para executar várias etapas de ataque não são novidade para os profissionais de resposta a incidentes”, disseram os pesquisadores.
“Isso apoia ainda mais o concepção de proteção multinível, que abrange tanto a proteção confiável de endpoints quanto soluções especializadas para detectar e proteger contra ataques complexos e direcionados, incluindo os operados por humanos”.
