上传中...100%

据观察，威胁行为者在针对一家未透露姓名的“大公司”的网络攻击中利用QEMU开源硬件模拟器作为隧道软件来连接到其基础设施。

虽然 Chisel、FRP、ligolo、ngrok 和 Plink 等许多合法的隧道工具已被对手利用以达到其优势，但这一开发标志着第一个用于此目的的 QEMU。

卡巴斯基研究人员 Grigory Sablin、Alexander Rodchenko 和 Kirill Magaskin表示：“我们发现 QEMU 支持虚拟机之间的连接：-netdev 选项创建可以连接到虚拟机的网络设备（后端）。”

“众多网络设备中的每一个都是由其类型定义的，并支持额外的选项。”

换句话说，其想法是创建一个虚拟网络接口和一个套接字类型的网络接口，从而允许虚拟机与任何远程服务器进行通信。

这家俄罗斯网络安全公司表示，它能够使用 QEMU 从企业网络中无法访问互联网的内部主机到具有互联网访问权限的枢轴主机建立网络隧道，该主机连接到攻击者在云上运行的服务器模拟器。

调查结果表明，威胁行为者正在不断多样化其攻击策略，将其恶意流量与实际活动相结合并实现其运营目标。

研究人员表示：“恶意行为者使用合法工具执行各种攻击步骤对于事件响应专业人员来说并不新鲜。”

“这进一步支持了多级保护的概念，其中涵盖可靠的端点保护以及用于检测和防御复杂和有针对性的攻击（包括人为攻击）的专门解决方案。”