- Met verborgen virtuele machines kunnen aanvallers de eindpuntbeveiliging omzeilen en onopgemerkt blijven
- Aanvallers gebruikten vertrouwde virtualisatietools en ingebouwde software om kwaadaardige activiteiten te verhullen
- Sophos koppelt campagnes die QEMU gebruiken aan de inzet van ransomware en langdurige netwerktoegang
Aanvallers verbergen steeds vaker kwaadaardige tools in virtuele machines om de beveiligingscontroles te omzeilen.
Sophos-analisten zeggen dat de aanpak afhankelijk is van virtualisatiesoftware die beveiligingssystemen vaak als legitieme activiteit beschouwen.
Bij recente incidenten gebruikten aanvallers QEMU, een open-source machine-emulator en virtualizer, om verborgen omgevingen uit te voeren waar kwaadaardige activiteiten grotendeels onzichtbaar bleven voor de eindpuntverdediging en minimaal bewijs achterlieten op het hostsysteem.
Artikel gaat hieronder verder
Een groeiende ontwijkingstrend
Sophos merkt op dat, hoewel de methode niet nieuw is, deze weer aan kracht heeft gewonnen, met twee actieve campagnes, bijgehouden als STAC4713 en STAC3725, geïdentificeerd sinds eind vorig jaar.
In de STAC4713-campagne creëerden aanvallers een geplande taak met de naam TPMProfiler om een verborgen QEMU virtuele machine te starten onder bevoegdheden op systeemniveau.
De virtuele machine gebruikte vermomde schijfimages, die eerst verschenen als databasebestanden en later vermomd als dynamische linkbibliotheken.
Eenmaal gelanceerd, zette de virtuele machine omgekeerde SSH-tunnels op die geheime kanalen voor externe toegang creëerden, waardoor aanvallers tools konden gebruiken en domeinreferenties konden verzamelen zonder activiteiten bloot te stellen aan traditionele beveiligingstools.
Sophos-onderzoekers observeerden ook dat aanvallers ingebouwde Windows-hulpprogramma’s zoals Microsoft Paint, Kladblok en Edge gebruikten voor toegang tot bestanden en netwerkdetectie. Deze was sterk afhankelijk van vertrouwde software om kwaadaardige acties te integreren in routinematig systeemgedrag.
Bij oudere inbraken in verband met de campagne werd gebruik gemaakt van blootgestelde VPN-systemen zonder meervoudige authenticatie, terwijl latere incidenten misbruik maakten van een kwetsbaarheid in de SolarWinds Web Help Desk, bijgehouden als CVE-2025-26399. Deze gevarieerde toegangspunten laten zien dat aanvallers hun tactieken aanpassen, afhankelijk van de beschikbare zwakke punten.
Sophos koppelt de STAC4713-campagne aan de PayoutsKing-ransomware, die zich richt op het versleutelen van gevirtualiseerde omgevingen.
De groep achter de ransomware lijkt zich te richten op hypervisors en tools in te zetten die op VMware- en ESXi-systemen kunnen werken.
De tweede campagne, STAC3725, was gebaseerd op het misbruiken van de CitrixBleed2-kwetsbaarheid om initiële toegang te verkrijgen voordat software voor externe toegang werd geïnstalleerd.
Aanvallers lanceerden vervolgens een virtuele QEMU-machine om handmatig aanvalstools samen te stellen voor diefstal van inloggegevens en netwerkverkenning.
In plaats van kant-en-klare payloads te leveren, compileerden aanvallers hun toolsets in de virtuele machine nadat ze toegang hadden verkregen. Die aanpak stelde hen in staat aanvallen aan te passen en de kans op detectie te verkleinen door middel van op handtekeningen gebaseerde verdedigingen.
Sophos waarschuwt dat het verbergen van activiteiten in virtuele machines een groeiende ontduikingstrend vertegenwoordigt. Sterke eindpuntbescherming, netwerkmonitoring en tijdige patching van blootgestelde systemen die cruciaal zijn voor het verminderen van risico’s.
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen.
