Hacker tarnen ganze Betriebssysteme als gewöhnliche Dateien: Neue Taktik zur Umgehung von Antivirenprogrammen
Cyberkriminelle haben einen Weg gefunden, bösartige Aktivitäten in legitimen Virtualisierungstools zu verstecken. Mit QEMU führen Angreifer ganze Betriebssysteme aus, die von Standard-Sicherheitsmaßnahmen nicht erkannt werden. Diese Technik wird bereits in mehreren Ransomware-Kampagnen eingesetzt.
Wie der QEMU-basierte Angriff funktioniert
QEMU ist eine beliebte Open-Source-Software für Emulation und Virtualisierung. In den Händen von Angreifern wird es zu einem mächtigen Werkzeug, um Spuren zu verbergen. Anstatt bösartige Prozesse direkt auf dem infizierten System auszuführen, setzen Hacker eine virtuelle Maschine (VM) darin ein. Alle schädlichen Aktionen werden innerhalb dieser VM durchgeführt, während auf dem Host nur legitime QEMU-Prozesse sichtbar sind.
Das virtuelle Festplattenimage wird als gewöhnliche Dateien getarnt – zum Beispiel als Datenbanken oder DLL-Bibliotheken. Die Kommunikation mit dem Command-Server erfolgt über reverse SSH-Tunnel, was die Erkennung von Netzwerkanomalien erschwert.
Zwei Kampagnen: STAC4713 und STAC3725
Sophos-Forscher haben mindestens zwei separate Kampagnen identifiziert, die diese Technik nutzen.
Kampagne STAC4713
In dieser Kampagne, die seit Ende 2025 aktiv ist, setzten Angreifer eine versteckte VM über eine TPMProfiler-Aufgabe mit SYSTEM-Rechten ein. Innerhalb der VM wurde ein vollständiger Satz von Tools für Remote-Zugriff, Diebstahl von Anmeldedaten und Datenextraktion platziert. Die Kampagne steht im Zusammenhang mit der Verbreitung der PayoutsKing-Ransomware. Analysten gehen davon aus, dass sie von der Gruppe GOLD ENCOUNTER orchestriert wird, die auf Angriffe auf virtualisierte Infrastruktur (VMware, ESXi) spezialisiert ist.
Kampagne STAC3725
Ab Februar 2026 nutzt diese Kampagne die CitrixBleed2-Sicherheitslücke in NetScaler aus. Nach dem Einbruch installieren Hacker einen bösartigen ScreenConnect-Client, erstellen ein lokales Administratorkonto und starten QEMU mit einem Alpine-Linux-Image. Im Gegensatz zur ersten Kampagne werden Aufklärungstools innerhalb der VM gesammelt: Impacket, BloodHound, Kerbrute, Metasploit und andere werden eingesetzt.
Warum dies gefährlich ist: Heimlichkeit und Langzeitzugriff
Die Hauptgefahr dieses Ansatzes besteht darin, dass bösartige Aktivitäten fast keine Spuren auf dem Host-System hinterlassen. Antiviren- und EDR-Lösungen sehen nur den legitimen QEMU-Prozess und können nicht in die virtuelle Maschine hineinschauen. Dies gibt Angreifern einen versteckten Langzeitzugriff, erleichtert die laterale Bewegung im Netzwerk und ermöglicht es ihnen, einen Ransomware-Angriff leise vorzubereiten.
Wie man sich schützt: Expertenempfehlungen
Sophos empfiehlt folgende Maßnahmen, um solche Angriffe zu erkennen:
- Überprüfen Sie die Umgebung auf nicht autorisierte QEMU-Installationen.
- Überwachen Sie verdächtige Aufgaben, die als SYSTEM ausgeführt werden.
- Erkennen Sie ungewöhnliche SSH-Portweiterleitungen.
- Achten Sie auf ungewöhnliche virtuelle Festplattendateien.
Wichtige Erkenntnisse
- Hacker nutzen das legitime QEMU-Tool, um versteckte virtuelle Maschinen auszuführen.
- VM-Images werden als gewöhnliche Dateien (Datenbanken, DLLs) getarnt.
- Angriffe umgehen Antiviren- und EDR-Lösungen und bleiben unentdeckt.
- Zwei Kampagnen identifiziert: STAC4713 (PayoutsKing) und STAC3725 (CitrixBleed2).
- Überwachen Sie auf nicht autorisierte QEMU-Installationen und verdächtige SSH-Tunnel.
Kontext und Auswirkungen
Die Nutzung von Virtualisierung zur Verschleierung bösartiger Aktivitäten ist eine Weiterentwicklung der Taktiken von Cyberkriminellen. Bisher wurden dafür legitime Systemdienstprogramme (LOLBins) verwendet, aber QEMU bietet umfassendere Möglichkeiten. Es wird erwartet, dass die Zahl solcher Angriffe zunimmt, insbesondere in Unternehmensumgebungen, in denen Virtualisierung weit verbreitet ist. Unternehmen müssen ihre Verteidigungsstrategien anpassen, einschließlich Verhaltensanalyse und Überwachung auf Hypervisor-Ebene.
— Editorial Team
Noch keine Kommentare.