详细内容或原文请订阅后点击阅览
隐藏的虚拟机:黑客如何利用 QEMU 秘密窃取数据并传播恶意软件
攻击者滥用 QEMU 在虚拟机中隐藏恶意软件、绕过检测、窃取数据并部署勒索软件而不留下任何痕迹。 Sophos 研究人员报告称,滥用开源模拟器 QEMU 来隐藏虚拟机内恶意活动的攻击者有所增加。通过在虚拟机中运行恶意软件,攻击者可以避开端点安全控制并在 [...]
来源:Security Affairs _恶意软件隐藏的虚拟机:黑客如何利用 QEMU 秘密窃取数据并传播恶意软件
攻击者滥用 QEMU 在虚拟机中隐藏恶意软件、绕过检测、窃取数据并部署勒索软件而不留下任何痕迹。
Sophos 研究人员报告称,滥用开源模拟器 QEMU 来隐藏虚拟机内恶意活动的攻击者数量有所增加。通过在虚拟机中运行恶意软件,攻击者可以避开端点安全控制,并在主机系统上留下最少的痕迹。这种方法使他们能够保持长期访问、窃取凭证、窃取数据,并最终部署 PayoutsKing 等勒索软件。
该技术并不新鲜,但正变得越来越频繁。多年来,威胁行为者将 QEMU 用于不同目的,包括托管攻击工具、创建通往命令和控制基础设施的隐蔽隧道以及在启动勒索软件之前部署后门。攻击者青睐 QEMU 以及 Hyper-V 或 VMware 等类似平台,因为它们提供的隐秘环境使检测和取证分析变得更加困难,从而使对手有更多时间进行不被发现的操作。
Sophos 发布的报告称,“QEMU 的滥用是威胁行为者多年来一直使用的一种反复出现的技术”。 “然而,Sophos 分析师观察到,涉及 QEMU 防御规避的案件有所增加,自 2025 年底以来发现了两种不同的活动:STAC4713 和 STAC3725。”
STAC4713 首次出现于 2025 年末,是一个与 PayoutsKing 勒索软件相关的经济驱动型活动。攻击者依靠 QEMU 虚拟机来隐藏活动并维持受感染网络内的隐藏访问。
他们还使用合法的系统工具提取凭据、复制 Active Directory 数据库并探索网络共享,将恶意行为与正常活动混合在一起。
该报告包括针对这些活动的建议、保护和妥协指标。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon
皮尔路易吉·帕格尼尼