攻撃者たちは、QEMUの仮想マシンを悪用して、認証情報盗聴とランサムウェア準備を「見えない」仮想環境に隠蔽することがますます増えており、防御者による検出とフォレンジックスを著しく困難にしている。
QEMUは、ホスト上で完全なオペレーティングシステムを仮想マシンとして実行できるオープンソースのエミュレータとバーチャライザーです。
脅威アクターは、ゲストVM内でツール全体を実行することでこの機能を兵器化しており、Windowsホスト上のほとんどのエンドポイントセキュリティエージェントはほとんど可視性を持たない。
このアプローチは、ホスト上に最小限のアーティファクトを残します。同時に、攻撃者は認証情報ダンプ、データ流出、およびランサムウェア準備のための永続的なLinuxベースの足がかりを享受できます。
Sophosによる最近のキャンペーン(STAC4713およびSTAC3725として追跡)は、QEMUベースのVMがいかに検出を回避し、認証情報を収集し、横方向に移動し、最終的にPayoutsKingランサムウェアおよび他のペイロードを展開するための隠蔽バックドアに変えられているかを示しています。
この技術は完全に新しいわけではありません。過去数年間、研究者たちはリバースSSHトンネリングおよび隠蔽ネットワークトンネルのためにQEMUが使用されていることを文書化しており、攻撃者が通常の仮想化アクティビティに混じり込む仮想インターフェース経由でトラフィックをルーティングすることができます。
変化したのは運用成熟度です。最新のキャンペーンは、隠蔽VM、認証情報盗聴、およびハイパーバイザーを対象としたランサムウェアを反復可能なプレイブックに組み合わせています。
STAC4713: QEMUバックドアからPayoutsKingへ
STAC4713キャンペーンは2025年後期に初めて確認され、財政的動機付けられており、GOLD ENCOUNTERの脅威グループに関連するPayoutsKingランサムウェア作戦に結びついています。
これらの侵入では、攻撃者はQEMUを隠蔽リバースSSHバックドアとして展開し、その後それを使用してツールを配信し、データを暗号化する前にドメイン認証情報を盗みます。
このタスクは、カスタムの高ポートからポート22へのポートフォワーディングを構成し、VMがブートするときに、AdaptixC2またはOpenSSHなどのツールを使用して攻撃者インフラストラクチャへのリバースSSHトンネルを確立し、効果的にQEMUを隠蔽されたリモートアクセスチャネルに変えます。
侵害されたWindowsシステムでは、アクターはTPMProfilerという名前のスケジュール済みタスクを作成し、vault.dbという名前のファイルやbisrv.dllなどの偽のDLLなどの偽装された仮想ディスクイメージを使用してSYSTEMアカウントの下でQEMU VM(qemu-system-x86_64.exe)を起動します。
VM内では、攻撃者は軽量のAlpine Linuxイメージを実行し、トンネリング、難読化、データ移動のためのユーティリティ(C2エージェント、カスタムWireGuard難読化装置、BusyBox、Chisel、およびRcloneを含む)を事前に読み込みます。
そこから、彼らはWindowsEnvironmentと相互作用してシャドウコピーを作成し、Active Directoryデータベースとレジストリハイブをコピーし、ネットワーク共有を体系的に参照します。多くの場合、Notepad、Paint、Edge、およびサードパーティのファイルエクスプローラーなどの正当なツールを悪用して混じり込みます。
STAC3725: QEMU VM内の認証情報盗聴
STAC3725キャンペーンは2026年初期から観察され、NetScalerアプライアンスのCitrixBleed2脆弱性(CVE-2025-5777)を使用して初期アクセスを取得し、その後、永続化のために悪意のあるScreenConnectクライアントを展開します。
そこから、脅威アクターはカスタムディスクイメージを使用してQEMUベースのAlpine Linux VMをステージングし、認証情報収集およびActive Directoryリコネッサンスのための専用攻撃プラットフォームとしてそれを使用します。
事前にパッケージされたスクリプトのみに依存する代わりに、攻撃者は手動でVM内に完全な攻撃的ツールキットをインストールおよびコンパイルし、Kerberosブルートフォース、強制攻撃、BloodHoundベースのADマッピング、およびMetasploitなどの古典的な後利用フレームワークのためのフレームワークを含みます。
彼らはこれをScreenConnectを使用したホストレベルアクションの追加、認証情報保護を弱めるレジストリ変更、Defender除外を改ざんするためのフォレンジックツール、および能力を拡張するための脆弱なドライバーと組み合わせます。
これらのキャンペーンは、敵対者が「独自のハイパーバイザーを持ってくる」ホストベースの検出を回避し、隠蔽されたVMから彼らの操作を実行する、より広い回避トレンドを強調しています。
セキュリティエージェントは通常、ゲストファイルシステムまたはプロセスを検査しないため、QEMUは長期アクセス、認証情報盗聴、およびランサムウェア準備のための理想的な コンテナ になります。
防御者は、不正なQEMUバイナリ、QEMUシステムプロセスをSYSTEMとして実行する疑わしいスケジュール済みタスク、SSHへの異常なポートフォワーディング、および.db、.dll、または.qcow2などの奇妙な拡張子を使用している仮想ディスクイメージを積極的に探す必要があります。
非標準ポートからのアウトバウンドSSHトンネル、不正なScreenConnectクライアントなどの予期しないリモート管理ツール、および説明のつかない隠蔽VMの監視は、組織がこれらのバックドア環境を大規模な認証情報盗聴とランサムウェア展開に使用される前に検出するのに役立つことができます。
翻訳元: https://gbhackers.com/qemu-hijacked-as-stealth-backdoor/
