サイバー攻撃者が、ある大企業のネットワーク侵害に際して、QEMUオープンソースハードウェアエミュレータをトンネリングソフトウェアとして利用したことが観察された。これまでにChisel、FRP、ligolo、ngrok、Plinkなどの正規のトンネリングツールが攻撃者に利用されてきたが、QEMUがこの目的で使用されたのは初めてである。
カスペルスキーの研究者たちは、「QEMUは仮想マシン間の接続をサポートしており、-netdevオプションによりネットワークデバイス(バックエンド)を作成し、それを仮想マシンに接続できる」と述べた。つまり、仮想ネットワークインターフェースとソケット型ネットワークインターフェースを作成し、仮想マシンが任意のリモートサーバーと通信できるようにするというアイデアである。
ロシアのサイバーセキュリティ企業は、インターネットアクセスのない企業ネットワーク内のホストから、インターネットアクセスを持つピボットホストを経由して、クラウド上でエミュレータを実行している攻撃者のサーバーに接続するネットワークトンネルをQEMUを使用して設定することができたと述べた。
この発見は、脅威アクターが攻撃戦略を多様化し、実際の活動と悪意のあるトラフィックを混在させ、運用目標を達成しようとしていることを示している。研究者たちは、「正規のツールを使用して様々な攻撃ステップを実行する悪意のあるアクターは、インシデント対応の専門家にとって新しいことではない」と述べ、信頼性の高いエンドポイント保護と、複雑で標的を絞った攻撃を検出し保護するための専門的なソリューションを含む多層保護の概念をさらに支持している。
【ニュース解説】
ある大企業のネットワーク侵害において、QEMUオープンソースハードウェアエミュレータがトンネリングソフトウェアとして利用された事例が観察されました。これまでにも、ChiselやFRPなどの正規のトンネリングツールが攻撃者によって利用されてきましたが、QEMUがこの目的で使用されたのは初めてのことです。
QEMUは、仮想マシン間での接続をサポートする機能を持っており、特定のオプションを使用することで、ネットワークデバイスを作成し、それを仮想マシンに接続することが可能です。この機能を悪用することで、攻撃者はインターネットアクセスのない内部ネットワークから、インターネットに接続された外部のサーバーへとデータを送信するトンネルを構築することができます。
このような攻撃手法の多様化は、脅威アクターが自身の活動を正規のトラフィックに紛れさせ、目的を達成しようとしていることを示しています。この事例は、単一の防御手段に依存するのではなく、エンドポイント保護と複雑な攻撃に特化した保護ソリューションの両方を含む多層的な保護戦略の重要性を強調しています。
この技術の利用は、正規のツールやソフトウェアがどのように悪用され得るかを示す一例であり、サイバーセキュリティの専門家にとっては、攻撃者が使用する可能性のあるツールや手法について常に警戒し、最新の情報に基づいた防御策を講じることの重要性を再認識させます。
また、この事例は、企業が内部ネットワークのセキュリティを強化するために、ネットワークの監視と分析を強化し、不審な活動を迅速に検出し対処する体制を整えることの重要性を示しています。長期的には、このような攻撃手法の出現は、サイバーセキュリティ技術の進化とともに、防御手段の進化を促すことにも繋がります。
from QEMU Emulator Exploited as Tunneling Tool to Breach Company Network.
