Một chiến dịch lừa đảo mới có tên CRON#TRAP đã được phát hiện, tấn công hệ thống Windows bằng cách sử dụng máy ảo Linux được trang bị một backdoor, cho phép kẻ tấn công truy cập bí mật vào mạng lưới của công ty. 

Chiến dịch này đánh dấu một bước tiến mới trong cách thức các cuộc tấn công mạng được thực hiện, đặc biệt là việc lợi dụng công nghệ ảo hóa để thực hiện các hoạt động độc hại.

Chiến dịch CRON#TRAP đã sử dụng một phương pháp lừa đảo tinh vi hơn, không giống như các cuộc tấn công trước đây thường yêu cầu sự can thiệp thủ công để cài đặt phần mềm độc hại. Nhóm tội phạm này đã sử dụng email lừa đảo được thiết kế để tự động cài đặt máy ảo Linux trên máy tính của nạn nhân mà không cần sự giám sát. 

Email giả mạo sử dụng tên “khảo sát từ OneAmerica” và kèm theo một tệp ZIP 285MB, trong đó chứa các tập lệnh độc hại để lây nhiễm máy ảo. Tệp ZIP này chứa một phím tắt Windows có tên “OneAmerica Survey.lnk” và một thư mục “data” chứa ứng dụng máy ảo QEMU, với tệp thực thi chính được ngụy trang dưới dạng fontdiag.exe .

Khi người dùng nhấp vào phím tắt, một lệnh PowerShell sẽ được thực thi, giải nén tệp lưu trữ và khởi động máy ảo QEMU Linux tùy chỉnh. Trong khi máy ảo đang được cài đặt, một tệp lệnh sẽ hiển thị một tệp PNG được tải xuống từ một trang web từ xa, trong đó hiển thị lỗi để đánh lừa. Quá trình này diễn ra mà không có cảnh báo nào từ hệ thống, khiến nạn nhân khó nhận ra rằng họ đã bị lừa.

Máy ảo được sử dụng trong chiến dịch này là phiên bản TinyCore Linux, được gọi là ‘PivotBox’. Nó đã được cài sẵn một backdoor cho phép kẻ tấn công duy trì liên lạc liên tục với máy chủ điều khiển (C2). Backdoor này giúp kẻ tấn công hoạt động ở chế độ ngầm, không bị phát hiện bởi các công cụ bảo mật thông thường. 

Một trong những công cụ chính được sử dụng cho chiến dịch tấn công này là Chisel, một chương trình cho phép tạo VPN tunels, giúp kẻ tấn công thiết lập kết nối an toàn với máy chủ C2 thông qua WebSockets.

Để duy trì sự hiện diện trong hệ thống, môi trường QEMU được cấu hình để tự động khởi động lại sau khi máy chủ khởi động lại. Điều này được thực hiện thông qua các sửa đổi trong tệp bootlocal.sh. Đồng thời, các khóa SSH được tạo ra và tải lên máy chủ để tránh việc phải xác thực lại. 

Kẻ tấn công có thể sử dụng các lệnh như get-host-shell để tạo một shell tương tác trên máy chủ, cho phép thực thi các lệnh mà không bị phát hiện. Lệnh get-host-user giúp xác định quyền truy cập của người dùng, từ đó cho phép kẻ tấn công thực hiện các hành động độc hại.

Để phát hiện và ngăn chặn các cuộc tấn công này, người quản trị hệ thống nên thực hiện các biện pháp giám sát chặt chẽ. Cụ thể, cần theo dõi các tiến trình như qemu.exe được thực thi từ các thư mục mà người dùng có thể truy cập. 

Việc đưa QEMU và các công cụ ảo hóa khác vào danh sách chặn cũng rất quan trọng. Hơn nữa, việc vô hiệu hóa hoặc chặn ảo hóa trên các thiết bị quan trọng từ BIOS sẽ giúp giảm thiểu rủi ro bị tấn công. Những biện pháp này có thể giúp bảo vệ hệ thống khỏi các mối đe dọa mới đang ngày càng tinh vi.

Nguồn: bleeping computer