Securonixはこのほど、「CRON#TRAP: Emulated Linux Environments as the Latest Tactic in Malware Staging - Securonix」において、仮想化ソフトウェア「QEMU」を悪用するサイバー攻撃「CRON#TRAP」を確認したとして分析結果を公開した。

  • CRON#TRAP: Emulated Linux Environments as the Latest Tactic in Malware Staging - Securonix

    CRON#TRAP: Emulated Linux Environments as the Latest Tactic in Malware Staging - Securonix

侵害経路

Securonixの分析によると、初期の感染経路はフィッシングメールだという。メールには285MBの巨大なZIPファイルが添付されており、展開するとQEMUインストールディレクトリと悪意のあるLNKファイルが1つ作成される。

このQEMUインストールディレクトリ内のファイルはすべて隠し属性が設定され、デフォルト設定のエクスプローラーからはディレクトリ内のファイルを確認できない。LNKファイルを開くと非表示のPowerShellが起動し、ZIPファイルを再展開してQEMUインストールディレクトリに存在するバッチファイルを実行する。

バッチファイルはおとりのエラー画像を表示し、次にQEMUを実行してLinux環境を起動する。QEMUは正規のソフトウェアのため、セキュリティソリューションから検出されることはない。

  • おとりのエラー画像の例 - 引用:Securonix

    おとりのエラー画像の例  引用:Securonix

285MBのZIPファイルを展開した結果がLNKファイル1つだけという状況は明らかに不自然だが、エラーを表示することでZIPファイルの破損を印象付ける目的があると推測される。

その結果、ユーザーは侵害されていることに気が付かず、フィッシングメールと最初に展開したディレクトリーのみを削除することになり、攻撃者はLinuxの攻撃環境を獲得する。

Linux環境の分析

起動されるLinuxは「PivotBox」と名付けられたTinyCore Linuxベースのカスタムイメージとされる。起動後にSSH接続を開始して攻撃者にバックドアを提供する。

Securonixによるとシェルの履歴ファイル(.ash_history)が削除されずに残っており、攻撃者の実行したコマンドを分析できたという。主な作業内容はTinyCore Linuxにおける設定の保持と、トンネリングツール「Chisel」の設置とされる。

設置されるChiselは事前構成されたクライアントバイナリとされ、WebSocket経由で攻撃者のコマンド&コントロール(C2: Command and Control)サーバに接続する。Chiselにはファイアウォールで保護された環境の内部から安全にトンネルを構築する機能があり、攻撃者に秘密の通信路を提供する。

影響と対策

この攻撃では起動スクリプトの修正などにより永続性が確保され、サンドボックスの内側からホスト環境と直接対話することが可能とされる。攻撃者に提供されるLinux環境は踏み台としての機能に加え、データ窃取や横方向の移動を容易にする目的があるとみられている。

Securonixはこのような攻撃を回避するため、不審なメールに添付されたファイルを開かないことを推奨している。攻撃者は信頼を獲得するためにZIPファイルをパスワードで保護し、パスワードをメールで通知することもあるとして注意を呼びかけている。