駭客濫用虛擬化平臺迴避偵測的手法,已出現多起資安事故,其中最常見的是濫用VMware ESXi,也有利用VirtualBox和Hyper-V的情況,最近有人濫用另一款虛擬化工具QEMU,而引起資安公司的注意。
自2025年底開始,資安公司Sophos發現兩群駭客濫用此虛擬化平臺的情況增加,其中,以經濟利益為動機的STAC4713特別值得留意,因為他們的活動與勒索軟體PayoutsKing及資料竊取有關,而其濫用QEMU是為了建立反向SSH後門,藉此傳遞攻擊工具,並挖掘受害組織的網域憑證。
STAC4713透過QEMU建置Alpine Linux虛擬機器,內含攻擊所需工具,通常會有Adaptix C2(tinker2)、自製的WireGuard流量混淆器wg-obfuscator、BusyBox、Chisel,以及Rclone。而在建置此虛擬機器前,駭客會建立工作排程TPMProfiler,藉由SYSTEM帳號啟動虛擬機器,開機後就會利用Adaptix C2或OpenSSH建立反向SSH隧道,使得駭客能繞過端點防護系統的偵測。
值得留意的是,這些駭客偵察時,通常會利用Windows內建的小畫家、記事本、Edge,並搭配第三方工具WizTool,找出檔案共享資料夾及檔案存取的管道。而對於憑證資料的部分,STAC4713會下達print命令,將AD資料庫NTDS.dit、安全帳號管理員(Security Account Manager,SAM)資料庫,以及SYSTEM登錄區(Hive)的內容,透過SMB複製到暫存資料夾。另一方面,STAC4713濫用磁碟區陰影複製服務(VSS)建立快照。
至於攻擊者如何入侵受害組織,Sophos觀察到有兩種,一種是從網際網路存取未啟用多因素驗證(MFA)的SonicWall VPN,不過在今年1月的事故裡,駭客利用SolarWinds網路IT服務臺漏洞CVE-2025-26399來達到目的。
