IT Report IT Report
  • Hardware
  • Software
  • Služby
  • Redakce
Vyhledávání
Služby

Hackeři podle Sophosu skrývají útoky ve virtuálních strojích

Bezpečnostní experti ze společnosti Sophos upozorňují na rostoucí trend, kdy útočníci zneužívají virtualizační nástroje k ukrytí škodlivé aktivity přímo uvnitř napadených systémů. Tento přístup jim...

25.04.2026

Bezpečnostní experti ze společnosti Sophos upozorňují na rostoucí trend, kdy útočníci zneužívají virtualizační nástroje k ukrytí škodlivé aktivity přímo uvnitř napadených systémů. Tento přístup jim umožňuje obcházet tradiční bezpečnostní opatření a dlouhodobě setrvat v infrastruktuře organizací bez odhalení.

„Útočníky přitahuje QEMU i běžnější virtualizační nástroje založené na hypervizoru, jako jsou Hyper-V, VirtualBox a VMware, protože škodlivá aktivita probíhající uvnitř virtuálního stroje (VM) je pro bezpečnostní nástroje na koncových bodech v podstatě neviditelná a na samotném hostitelském systému zanechává jen minimum forenzních stop. Útočníci tak získávají čas i prostor pro další škodlivé aktivity a přípravu útoků,“ říká Morgan Demboski, analytička kybernetických hrozeb v týmu Managed Detection and Response (MDR) společnosti Sophos.

Nová úroveň skrytí útoků

Sophos identifikoval několik aktivních kampaní, ve kterých útočníci zneužívají virtualizaci k dlouhodobému přístupu do firemních sítí, krádeži přihlašovacích údajů, exfiltraci citlivých dat, a přípravě a nasazení ransomwaru. V některých případech útočníci využili i známé zranitelnosti, například CitrixBleed2, nebo špatně zabezpečené VPN přístupy bez vícefaktorového ověření.

Zneužívání QEMU je opakující se technika, kterou útočníci využívají již řadu let:

  • listopad 2020: Společnost Mandiant popsala případ, kdy útočník využil QEMU na Linuxových systémech k hostování nástrojů a vytvoření reverzních SSH tunelů do infrastruktury pro řízení a kontrolu (C2).
  • Březen 2024: Kaspersky informoval o zneužívání QEMU pro skryté síťové tunelování.
  • Květen 2025: Sophos zdokumentoval útoky, při nichž byl QEMU použit k nasazení backdooru QDoor a následnému šíření ransomwaru 3AM.

Analytici Sophos však zaznamenali nárůst případů, kdy je QEMU zneužíván k obcházení bezpečnostních opatření, přičemž od konce roku 2025 identifikovali dvě samostatné kampaně: STAC4713 a STAC3725.

Hrozba i pro české firmy

Virtualizační technologie, jako například VMware nebo řešení od společnosti Microsoft, jsou běžnou součástí IT infrastruktury většiny organizací v Česku. Nový přístup útočníků tak představuje reálné riziko napříč sektory.

„Firmy by měly počítat s tím, že útočníci dnes kombinují legitimní nástroje s pokročilými technikami skrývání. Ve fázi detekce už se už nemůžete spolehnout jen na monitoring koncových bodů, ale musíte zohlednit i širší kontext a chování v síti,“ upozorňuje Morgan Demboski a organizacím doporučuje: „Zaměřte se na audit prostředí z hlediska neautorizovaných virtualizačních nástrojů, sledujte neobvyklou síťovou komunikaci, například SSH tunely, kontrolujte podezřelé plánované úlohy i systémové procesy a dbejte na důsledné zabezpečení vzdálených přístupů včetně vícefaktorového ověřování.“

Předchozí článek

Autonomní síť HPE umožňuje zlepšit zážitky fanoušků na madridském stadionu Riyadh Air Metropolitano

Další článek

Genius představil dřevěné multimediální reproduktory SP-HF400 10W ve variantách Dark Brown a Pine Wood

Nejčtenější
Šest z deseti nejvýkonnějších superpočítačů světa pochází z dílny HPE
01.07.2026
Doktorand FEL ČVUT uspěl s AI ochranou proti kyberútočníkům
01.07.2026
METZ uvádí na trh chytrou QD-Mini LED televizi s úhlopříčkou 60 palců a systémem Google TV
01.07.2026

All Right Reserved!