新型网络钓鱼攻击：Windows系统被后门感染的Linux虚拟机

关键要点

• 新的CRON#TRAP网络钓鱼活动使Windows系统受到后门感染，利用Linux虚拟机实现隐秘网络访问。
• 攻击从伪装成“OneAmerica调查”的钓鱼邮件开始，附带的ZIP文件包含Windows快捷方式和可执行文件。
• 攻击中部署的自定义Tiny Core QEMU Linux虚拟机名为’PivotBox’，其内置后门。
• 使用预配置的Chisel网络隧道程序进行指挥与控制通信，并支持命令执行、网络管理、监控和数据盗窃。
• 专家建议组织对‘qemu.exe’进程进行监控，并禁止使用QEMU和其他虚拟化程序。

近日，报道，Windows系统在新的CRON#TRAP网络钓鱼活动中被后门感染，攻击者利用包含Linux虚拟机的方式来实现隐秘的网络访问。

攻击过程以包含伪装成“OneAmerica调查”的钓鱼邮件为起点，这封邮件内含一个ZIP文件，里面有一个Windows快捷方式和主要可执行文件。根据Securonix的分析，此次攻击最终部署了一种名为’PivotBox’的自定义TinyCore QEMULinux虚拟机，该虚拟机中包含后门。该虚拟机不仅使用预配置的Chisel网络隧道程序进行指挥与控制的通信，还支持执行命令，从而实现网络与载荷管理、监控以及数据窃取。

研究人员指出，这一发现出现在Kaspersky研究人员报告QEMU被利用来建立虚拟网络接口几个月后，组织机构应对此表示警惕，建议监控‘qemu.exe’进程的执行情况，并禁止使用QEMU及其他虚拟化程序以防止进一步的安全隐患。

如果您想了解更多关于病毒及网络安全的知识，可以参考这些资源： –
–

攻击特征 | 描述
—|—
钓鱼邮件类型 | 伪装成调查的邮件
附件 | ZIP文件，内含Windows快捷方式和可执行文件
虚拟机名称 | ‘PivotBox’
后门功能 | 网络管理、监控与数据窃取
网络隧道程序 | Chisel

总之，面对这一新型的网络安全威胁，企业和个人在确保网络安全方面需要保持敏感与预警。确保及时监控和禁止可疑程序的执行，是降低风险的有效做法。