Интересная техника кибератак обнаружена экспертами из компании SecureWorks. Исследователи выяснили, что для маскировки следов своей активности хакеры включили виртуальную машину на целевом компьютере, планируя действовать с ее помощью.
Эксперты SecureWorks занимались расследованием странного инцидента, имевшего место 28 июля в сети одного из клиентов данной компании и спровоцировавшего срабатывание системы безопасности. Несмотря на то, что изначально исследователи не заметили ничего необычного, они все же провели анализ лог-файлов системного администратора пострадавшей фирмы и нашли в них причину произошедшего инцидента.
По словам специалистов, киберпреступники заполучили уровень доступа, позволявший взаимодействие с Windows Explorer через Terminal Services Client. Хакеры воспользовались Microsoft Management Console для того, чтобы запустить Hyper-V Manager, применявшийся для настройки инфраструктуры виртуальной машины Microsoft.
Однако машина, скомпрометированная злоумышленниками, сама была виртуальной, что не позволило хакерам подключиться к только что созданной VM через vmconnect.exe.
Но все же эксперты SecureWorks признали, что злоумышленники придумали неплохой план. Используя виртуальную машину, хакеры могли бы избежать обнаружения защитными системами и, например, украсть секретную информацию.