CRON#TRAP-Kampagne
Author
Maren Keller, Mo, 18. Nov. 2024
 in Cybersecurity

CRON#TRAP-Kampagne

Emulierte Linux-Umgebung bedroht Firmennetzwerke unbemerkt

Eine neuartige Angriffskampagne nutzt emulierte Linux-Umgebungen als Backdoor in Unternehmensnetzwerken. Sie wurde CRON#TRAP-Kampagne genannt.

Durch Phishing und das Open-Source-Tool QEMU bleiben Angreifer unentdeckt und umgehen gängige Sicherheitslösungen. Die geschaffene vertraute Umgebung wird gezielt für Angriffe genutzt und ist oft schwer zu erkennen.

Angriffskampagne CRON#TRAP

Eine neuartige und komplexe Angriffskette haben die IT-Forscher von Securonix jüngst entdeckt. Hierbei dient eine emulierte Linux-Umgebung als Backdoor auf kompromittierten (Windows-)Systemen.

Die Kampagne, benannt als „CRON#TRAP“, setzt auf eine bösartige Verknüpfungsdatei (.lnk). Diese startet nach Ausführung eine emulierte Linux-Umgebung in QEMU, einem Open-Source-Virtualisierungstool. Diese emulierte Umgebung wiederum enthält eine vorkonfigurierte Backdoor, die automatisch eine Verbindung zu einem Command-and-Control-Server (C2) herstellt.

Durch diesen Trick gelingt es Angreifern, sich unbemerkt in Unternehmensnetzwerken einzunisten und auf kompromittierte Systeme Zugriff zu erhalten. Gängige Antivirenlösungen schlagen keinen Alarm.

CRON#TRAP | Hacker | Backdoor |Linux-Umgebung. Bild: Pexels/Mikhail Nilov

Emulierte Linux-Umgebungen sorgen dafür, dass Antivirensysteme keinen Alarm schlagen. Bild: Pexels/Mikhail Nilov

Linux auf Windows nachgebildet

Eine Emulation ist eine Technik, mit der ein System auf einem anderen System simuliert wird. Im Fall der von Securonix beschriebenen Angriffsmethode nutzen die Angreifer QEMU (Quick Emulator), eine Open-Source-Emulationssoftware, um eine vollständige Linux-Umgebung auf einem Windows-System zu simulieren.

Da bedeutet, dass die Hardware- und Systemfunktionen von Linux innerhalb von Windows nachgebildet werden, sodass die Software wie auf einem echten Linux-Computer läuft. Dies ermöglicht es Angreifern, unabhängig vom Betriebssystem des Opfers eine Linux-Umgebung zu starten und ihre bösartigen Aktivitäten auszuführen – ohne dass das Windows-System diese fremde Umgebung als Bedrohung erkennt.

Denn: Viele Sicherheitslösungen sehen QEMU als harmloses Entwicklerwerkzeug an, weshalb die emulierte Umgebung kaum auffällt und somit eine unsichtbare Basis für die Backdoor schafft. Die Backdoor wird versteckt.

CRON#TRAP- Angriff beginnt mit Phishing

Der eigentliche CRON#TRAP-Angriff beginnt mit einer gezielten Phishing-Kampagne, die per E-Mail eine ZIP-Datei mit der Bezeichnung „OneAmerica Survey.zip“ verteilt. Das ZIP-Paket umfasst 285 MB und enthält die .lnk-Datei „OneAmerica Survey.lnk“. Diese Datei entpackt das QEMU-Installationsverzeichnis und eine Datei namens „start.bat“.

Bei Ausführung simuliert das Batch-Skript eine Fehlermeldung, die das Opfer dazu bringen soll, den Angriff als technische Störung abzutun. Gleichzeitig läuft die emulierte Linux-Umgebung unsichtbar im Hintergrund, installiert die Backdoor und verbindet sich direkt mit einem Command-and-Control-Server (C2), der von den Angreifern gesteuert wird. So erhalten diese Zugang zum kompromittierten System und können über die Emulation unentdeckt operieren.

CRON#TRAP | Hacker | Backdoor |Linux-Umgebung. Bild: stock.adobe.com/calypso77

Phishing ist das Mittel der Wahl für die Angreifer, um Ihre Attacke zu starten. Bild: stock.adobe.com/calypso77

QEMU als Tarnung: Die Besonderheit der CRON#TRAP-Kampagne

QEMU (Quick Emulator) ist ein seriöses und weit verbreitetes Open-Source-Virtualisierungstool. Es kann verschiedenste Hardware- und Prozessorarchitekturen emulieren, also auf einem anderen System simulieren. Es ermöglicht die Ausführung unterschiedlicher Betriebssysteme oder Anwendungen in einer kontrollierten Umgebung und wird oft in der Softwareentwicklung genutzt.

Die Angreifer von CRON#TRAP nutzen QEMU, um eine angepasste Version von Tiny Core Linux zu starten. Dadurch wird das System ihres Opfers unauffällig für die böswillige Nutzung geöffnet. Da QEMU in der IT-Welt bekannt und etabliert ist, ruft seine Anwesenheit auf einem System in der Regel keine Sicherheitsalarme hervor – ein strategischer Vorteil für die Angreifer.

SSH-Backdoor und HTTP-Tunnel

Die Angreifer richten eine SSH-Backdoor ein und erstellen einen gesicherten HTTP-Tunnel, um die Sicherheitssysteme und Firewalls des Unternehmens zu umgehen. Dadurch können sie im Netzwerk bleiben, Daten abgreifen und zusätzliche Schadsoftware nachladen. Die Angreifer bleiben durch die Nutzung dieses Tunnels und der Emulation auf den infizierten Endpunkten unentdeckt aktiv.

Besonders gefährlich ist, dass die Angreifer auch nach einem Neustart auf dem kompromittiertem System bleiben. Sie nutzen Befehlsalias wie „get-host-shell“ und „get-host-user“, um direkt aus der QEMU-Umgebung auf das Host-System zuzugreifen und so potenziell laterale Bewegungen im Netzwerk oder Datendiebstahl durchzuführen.

CRON#TRAP | Hacker | Backdoor |Linux-Umgebung. Bild: stock.adobe.com/Andrii Yalanskyi

Firewalls und Sicherheitssysteme überwindet CRON#TRAP trickreich. Bild: stock.adobe.com/Andrii Yalanskyi

CRON#TRAP erkennen

Firmen, Betriebe, Unternehmen – sie sind das Ziel von CRON#TRAP. Doch wie erkennen Sie die Indicators of Compromise (IoCs), also die Anzeichen für den gefährlichen Angriff?

Securonix empfiehlt Unternehmen, verstärkt auf ungewöhnliche Prozesse und PowerShell-Befehle zu achten. Zudem liegt ein wesentlicher Teil der Abwehr in der sorgfältigen Konfiguration von Endpunkt-Logging und der Überwachung von Prozessen mit Tools, die tiefgehendes Logging ermöglichen und potenzielle bösartige Aktivitäten besser erkennbar machen.

Zu den präventiven Maßnahmen zählen daneben:

  • Monitoring-Tools: Konfigurieren Sie Werkzeuge wie Sysmon, um verdächtige Prozesse zu erfassen und Angriffe frühzeitig zu erkennen.
  • Schulungen: Sensibilisieren Sie Ihre Mitarbeiter durch Schulungen, damit Sie Phishing-E-Mails und bösartige Dateien leichter erkennen.
  • Vorsicht bei verdächtigen E-Mail-Anhängen: Anhänge wie ZIP-, RAR- oder ISO-Dateien sollten nur geöffnet werden, wenn Sie den Eingang erwarten. Fragen Sie im Zweifel beim Absender nach.

Unsere IT-Experten von PC-SPEZIALIST in Ihrer Nähe bieten Ihnen umfassende Beratung und Sicherheitslösungen, die speziell auf die Abwehr von modernen Bedrohungen wie Backdoors in emulierten Linux-Umgebungen abgestimmt sind. Von Endpoint-Security-Lösungen bis zur Schulung Ihrer Mitarbeiter – wir stehen Ihnen mit Know-how zur Seite, um Ihre Netzwerke vor unbemerktem Eindringen zu schützen. Mit dem IT-Basisschutz haben wir ein Sicherheitspaket im Portfolio, dass die IT von kleinen Firmen ideal absichert. Nehmen Sie gern Kontakt zu uns auf.

_______________________________________________

Quellen: securonix, Pexels/Tima Miroshnichenko (Headerbild)

,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren