Angreifer nutzen emulierte Linux-Umgebung als Backdoor
IT-Sicherheitsforscher haben eine ungewöhnliche Angriffsart entdeckt: Die Täter haben eine emulierte Linux-Umgebung als Backdoor eingerichtet.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Eine neuartige Angriffskette haben IT-Forscher von Securonix entdeckt. Die Malware besteht dabei aus einer emulierten Linux-Umgebung, die die Angreifer als Backdoor auf kompromittierte Systeme installieren.
Wie die Securonix-Mitarbeiter in einer detaillierten Analyse beschreiben, setzen die Angreifer auf einer QEMU-Linux-Box auf, um Persistenz auf den Endpoints zu erlangen, in die sie einbrechen konnten. Der Angriff selbst erfolgt dabei mit Phishing-E-Mails, die Opfer zum Herunterladen und AusfĂĽhren der Malware verleiten sollen.
Ausgangspunkt bösartige .lnk-Datei
Die Analyse startet bei einer Phishing-Kampagne, die eine bösartige .lnk-Datei verteilt. Bei der Ausführung entpackt die Datei eine leichtgewichtige, angepasste Linux-Umgebung, die in einer QEMU-Emulation läuft. Die kommt mit einer vorkonfigurierten Backdoor daher, die sich auf einen von den Angreifern kontrollierten Command-and-Control-Server (C2) verbindet. Das erlaube den Angreifern, versteckt auf den Maschinen der Opfer aktiv zu bleiben und weitere bösartige Aktionen in der verdeckten Umgebung auszuführen – deren Erkennung durch Antivirensoftware dadurch massiv erschwert werde. Insbesondere, da QEMU in der Softwareentwicklung und Forschung häufig anzutreffen sei, löst dessen Anwesenheit keinen Sicherheitsalarm aus, erörtert Securonix.
In ihrer Analyse gehen die IT-Forscher in die Details. Vermutlich stehen Opfer in den USA im Fokus, da die entdeckten Phishing-E-Mails einen Link auf eine ZIP-Datei enthielten, die auf eine Umfrage hindeute. Die ZIP-Datei und der enthaltene Shortcut hießen "OneAmerica Survey.zip" respektive "OneAmerica Survey.lnk". Der Umfang der ZIP-Datei war mit 285 MByte ungewöhnlich groß für ein Phishing-Dokument. Nach dem Entpacken des ZIPs bleibt ein Verzeichnis "data" mit dem vollständigen QEMU-Installationsverzeichnis und die Verknüpfung "OneAmerica Survey". Die .lnk-Datei ruft die Powershell auf und führt einen einfachen Befehl aus, der die ZIP-Datei in ein Verzeichnis im Benutzerverzeichnis extrahiert und schließlich die Datei "start.bat" aus diesem neuen Unterverzeichnis startet.
Die Batch-Datei zeigt ein Bild von einer URL im Netz an, das einen Server-Fehler vorgaukelt. Opfer sollen glauben, dass die Umfrage schlicht serverseitig defekt sei. Zudem führt das Skript QEMU und darin die emulierte Linux-Umgebung aus. Der QEMU-Prozess wurde zuvor in "fontdiag.exe" umbenannt. Der Start mit dem Schalter "-nographic" sorgt dafür, dass QEMU unauffällig im Hintergrund läuft. Securonix beschreibt weiter, wie die Angreifer sich einnisten, eine SSH-Hintertür einrichten und auf das Host-System zugreifen. Sie richten zudem einen mit SSH geschützten HTTP-Tunnel ein, um Firewalls zu umgehen.
Auch Indizien für einen Angriff (Indicators Of Compromise, IOCs) liefert die Analyse mit. Einer der Empfehlungen von Securonix lautet, Logging auf den Endpoints scharfzustellen, um die Erkennung etwa von Powershell-Missbrauch zu ermöglichen. Das umfasse auch zusätzliches Logging auf Prozess-Ebene, wie es das Sysinternals-Tool Sysmon erlaubt.
Mit Phishing-Mails gehen Cyberkriminelle häufig auf Opfersuche. Anfang September etwa haben bösartige Akteure viele tausende Phishing-Mails versendet, die nach dem Klicken der Links darin in die Installation einer Backdoor mit der Malware "Voldemort" mündeten. IT-Forscher von Proofpoint hatten die Welle entdeckt, vor der auch das Bundeszentralamt für Steuern (BZSt) warnte – etwa, da sie durch Vorgaukeln der Absenderadresse 'poststelle@bzst.bund.de' einen offiziellen Eindruck erwecken wollten.
(dmk)