Было замечено, что участники угрозы использовали QEMU аппаратный эмулятор с открытым исходным кодом в качестве программного обеспечения для туннелирования во время кибератаки, направленной на неназванную "крупную компанию" для подключения к их инфраструктуре.
В то время как ряд законных инструментов туннелирования, таких как Chisel, FRP, ligolo, ngrok и Plink, использовались злоумышленниками в своих интересах, данная разработка является первым QEMU, который был использован для этой цели.
"Мы обнаружили, что QEMU поддерживает соединения между виртуальными машинами: опция -netdev создает сетевые устройства (серверную часть), которые затем могут подключаться к виртуальным машинам", - сказали исследователи Касперского Григорий Саблин, Александр Родченко и Кирилл Магаскин.
"Каждое из многочисленных сетевых устройств определяется своим типом и поддерживает дополнительные опции".
Другими словами, идея состоит в том, чтобы создать виртуальный сетевой интерфейс и сетевой интерфейс типа сокета, тем самым позволяя виртуальной машине взаимодействовать с любым удаленным сервером.
Российская компания по кибербезопасности заявила, что смогла использовать QEMU для настройки сетевого туннеля от внутреннего хоста в корпоративной сети, у которого не было доступа в Интернет, к хосту pivot с доступом в Интернет, который подключается к серверу злоумышленника в облаке, на котором запущен эмулятор.
Полученные данные показывают, что субъекты угроз постоянно диверсифицируют свои стратегии атак, чтобы сочетать вредоносный трафик с реальной активностью и достигать своих операционных целей.
"Злоумышленники, использующие законные инструменты для выполнения различных этапов атаки, не являются чем-то новым для специалистов по реагированию на инциденты", - сказали исследователи.
"Это еще раз подтверждает концепцию многоуровневой защиты, которая охватывает как надежную защиту конечных точек, так и специализированные решения для обнаружения и защиты от сложных и целенаправленных атак, в том числе управляемых человеком".