Mesin virtual tersembunyi bikin para penyerang makin licik dengan menghindari keamanan endpoint dan tetap tanpa terdeteksi
Saat ini, penyerang semakin pintar dengan menyembunyikan alat berbahaya mereka di dalam mesin virtual agar bisa lolos dari pengawasan keamanan. Menurut analisis dari Sophos, pendekatan ini memanfaatkan perangkat lunak virtualisasi yang sering dianggap sebagai aktivitas yang sah oleh sistem keamanan.
Dalam beberapa insiden terakhir, mereka menggunakan QEMU, sebuah emulator mesin dan virtualizer open-source, untuk menjalankan lingkungan tersembunyi di mana aktivitas berbahaya hampir tidak terlihat oleh pertahanan endpoint dan hanya meninggalkan jejak minimal pada sistem host.
Tren Penghindaran yang Meningkat
Sophos mencatat bahwa meskipun metode ini bukanlah yang baru, popularitasnya kembali meningkat. Mereka menemukan dua kampanye aktif, yang dilacak sebagai STAC4713 dan STAC3725, sejak akhir tahun lalu. Dalam kampanye STAC4713, penyerang membuat tugas terjadwal bernama TPMProfiler untuk meluncurkan mesin virtual QEMU yang tersembunyi dengan hak akses tingkat sistem.
Mesin virtual ini menggunakan citra disk yang disamarkan, awalnya tampil sebagai file database, lalu berpura-pura menjadi pustaka tautan dinamis. Setelah diluncurkan, mesin virtual ini membuat saluran akses jarak jauh yang bekerja dengan SSH terbalik, memungkinkan penyerang menjalankan alat dan mengumpulkan kredensial domain tanpa membongkar aktivitas mereka ke alat keamanan konvensional.
Sophos juga mengamati bahwa penyerang memanfaatkan utilitas bawaan Windows seperti Microsoft Paint, Notepad, dan Edge untuk mengakses file dan melakukan penemuan jaringan. Mereka benar-benar memanfaatkan perangkat lunak yang tepercaya untuk menyusupkan tindakan berbahaya ke dalam perilaku sistem sehari-hari.
Intrusi yang lebih tua terkait dengan kampanye ini memanfaatkan sistem VPN yang terbuka tanpa otentikasi multi-faktor, sementara insiden-insiden terbaru mengeksploitasi kerentanan di SolarWinds Web Help Desk yang dilacak sebagai CVE-2025-26399. Beragam titik masuk ini menunjukkan bahwa penyerang menyesuaikan taktik mereka berdasarkan kelemahan yang tersedia.
Sophos menghubungkan kampanye STAC4713 dengan ransomware PayoutsKing, yang fokus pada enkripsi lingkungan virtual. Kelompok di balik ransomware ini tampaknya menargetkan hypervisor dan menggunakan alat yang dapat beroperasi di sistem VMware dan ESXi.
Kampanye kedua, STAC3725, mengandalkan eksploitasi kerentanan CitrixBleed2 untuk mendapatkan akses awal sebelum menginstal perangkat lunak akses jarak jauh. Setelah itu, penyerang meluncurkan mesin virtual QEMU untuk merakit alat serangan secara manual untuk pencurian kredensial dan pengintaian jaringan.
Bukan hanya mengirimkan muatan siap pakai, penyerang menyusun set alat mereka di dalam mesin virtual setelah mendapatkan akses. Pendekatan ini memungkinkan mereka untuk menyesuaikan serangan dan mengurangi kemungkinan terdeteksi oleh pertahanan berbasis tanda tangan.
Sophos memperingatkan bahwa menyembunyikan aktivitas di dalam mesin virtual adalah tren penghindaran yang semakin meningkat. Perlindungan endpoint yang kuat, pemantauan jaringan, dan penambalan tepat waktu pada sistem yang terbuka sangat penting untuk mengurangi risiko.
