Se ha observado que los actores de amenazas aprovechan la QEMU Emulador de hardware de código abierto como software de túnel durante un ciberataque dirigido a una «gran empresa» anónima para conectarse a su infraestructura.
Si bien los adversarios han utilizado una serie de herramientas legítimas de tunelización como Chisel, FRP, ligolo, ngrok y Plink para su beneficio, el desarrollo marca la primera QEMU que se ha utilizado para este propósito.
«Descubrimos que QEMU admite conexiones entre máquinas virtuales: la opción -netdev crea dispositivos de red (backend) que luego pueden conectarse a las máquinas virtuales», dijeron los investigadores de Kaspersky Grigory Sablin, Alexander Rodchenko y Kirill Magaskin. dicho.
«Cada uno de los numerosos dispositivos de red está definido por su tipo y admite opciones adicionales».
En otras palabras, la idea es crear una interfaz de red virtual y una interfaz de red tipo socket, permitiendo así que la máquina virtual se comunique con cualquier servidor remoto.
La compañía rusa de ciberseguridad dijo que pudo usar QEMU para configurar un túnel de red desde un host interno dentro de la red empresarial que no tenía acceso a Internet hasta un host pivote con acceso a Internet, que se conecta al servidor del atacante en la nube. el emulador.
Los hallazgos muestran que los actores de amenazas diversifican continuamente sus estrategias de ataque para combinar su tráfico malicioso con la actividad real y cumplir sus objetivos operativos.
«Los actores maliciosos que utilizan herramientas legítimas para realizar diversos pasos de ataque no son nada nuevo para los profesionales de respuesta a incidentes», dijeron los investigadores.
«Esto respalda aún más el concepto de protección multinivel, que cubre tanto una protección confiable de endpoints como soluciones especializadas para detectar y proteger contra ataques complejos y dirigidos, incluidos los operados por humanos».