دفعات برنامج الفدية King Ransomware

استخدمت عملية برمجية الفدية الخبيثة "Payouts King" أسلوبًا شديد التخفي، مستغلةً برنامج QEMU كباب خلفي عكسي لبروتوكول SSH. يسمح هذا الأسلوب للمهاجمين بنشر أجهزة افتراضية مخفية مباشرةً على الأنظمة المخترقة، متجاوزين بذلك ضوابط أمان نقاط النهاية التقليدية.

يُمكّن برنامج QEMU، وهو برنامج مفتوح المصدر لمحاكاة وحدة المعالجة المركزية ومنصة افتراضية، أنظمة التشغيل من العمل كأجهزة افتراضية على الجهاز المضيف. ولأن معظم حلول الأمان لا تستطيع فحص النشاط داخل هذه الأجهزة الافتراضية، يستغل المهاجمون هذه الثغرة لتنفيذ برامج ضارة، وتخزين بيانات خبيثة، وإنشاء أنفاق وصول عن بُعد سرية عبر اتصالات SSH.

هذا الأسلوب ليس جديداً تماماً. فقد لوحظت إساءة استخدام مماثلة لبرنامج QEMU في عمليات مرتبطة بمجموعات مثل مجموعة برامج الفدية 3AM، وLoudMiner، وحملة التصيد الاحتيالي CRON#TRAP.

داخل حملة STAC4713

حدد باحثو الأمن حملتين رئيسيتين تتضمنان نشر QEMU، إحداهما تم تتبعها باسم STAC4713، والتي لوحظت لأول مرة في نوفمبر 2025. وقد تم ربط هذه الحملة بشكل مباشر بعملية برنامج الفدية Payouts King ونُسبت إلى مجموعة GOLD ENCOUNTER.

تشتهر مجموعة "جولد إنكاونتر" باستهدافها لأنظمة إدارة الأجهزة الافتراضية ونشر برامج التشفير في بيئات VMware وESXi. وفي إطار هذه الحملة، يُرسّخ المهاجمون وجودهم في النظام ويُخفونه عن طريق إنشاء مهمة مجدولة باسم "TPMProfiler"، والتي تُشغّل جهازًا افتراضيًا مخفيًا يعمل بنظام QEMU ويتمتع بصلاحيات على مستوى النظام.

لتجنب الكشف، تُخفى ملفات القرص الافتراضي الخبيثة على هيئة ملفات قواعد بيانات وملفات DLL شرعية. بالإضافة إلى ذلك، يُضبط توجيه المنافذ لتمكين الوصول السري إلى النظام المصاب عبر أنفاق SSH عكسية. تعمل الآلة الافتراضية المُنشأة بنظام Alpine Linux 3.22.0 وتتضمن مجموعة أدوات للمهاجمين مثل AdaptixC2 وChisel وBusyBox وRclone.

مسارات الوصول والاستغلال الأولية

أظهر المهاجمون مرونة في الوصول الأولي، باستخدام نقاط دخول متعددة حسب بيئة الهدف. شملت الحوادث المبكرة أنظمة VPN من نوع SonicWall مكشوفة، بينما استغلت الهجمات الأحدث ثغرة CVE-2025-26399.

تشمل أساليب الاختراق الإضافية التي لوحظت في الحملات اللاحقة ما يلي:

• اختراق خدمات VPN من نوع SSL المكشوفة من سيسكو
• الهندسة الاجتماعية عبر مايكروسوفت تيمز، حيث ينتحل المهاجمون صفة موظفي تكنولوجيا المعلومات
• إيصال الحمولات الخبيثة عبر خدمة المساعدة السريعة

تُبرز هذه الأساليب المتنوعة مزيجًا من الاستغلال التقني والخداع الموجه للبشر.

عمليات ما بعد الاختراق وسرقة البيانات

بمجرد اختراق الشبكة، يستخدم المهاجمون تقنيات متقدمة لما بعد الاختراق لاستخراج البيانات الحساسة وتعزيز سيطرتهم. تتضمن هذه العملية عادةً إنشاء نسخ احتياطية باستخدام خدمة النسخ الاحتياطي لوحدة التخزين (vssuirun.exe)، ثم استخدام بروتوكولات SMB لنسخ ملفات النظام الحيوية مثل NTDS.dit وSAM وملفات سجل النظام إلى مجلدات مؤقتة.

في المراحل اللاحقة، يتم استغلال ملفات تنفيذية شرعية مثل ADNotificationManager.exe لتحميل برامج ضارة، وتحديدًا مكون Havoc C2 (vcruntime140_1.dll). ثم يتم استخراج البيانات باستخدام Rclone، ونقل المعلومات المسروقة إلى خوادم SFTP بعيدة.

قدرات برامج الفدية واستراتيجية التشفير

يُظهر برنامج الفدية "Payouts King" تطوراً تقنياً عالياً. فهو يستخدم تقنيات إخفاء واسعة النطاق وتقنيات مضادة للتحليل لتجنب الكشف عنه، مع الحفاظ على استمراريته من خلال المهام المجدولة وتعطيل أدوات الأمان عبر استدعاءات نظام منخفضة المستوى.

تجمع آلية التشفير الخاصة بها بين AES-256 في وضع CTR وRSA-4096، مع تطبيق تشفير متقطع للملفات الكبيرة لتحسين السرعة والتأثير. ويتم توجيه الضحايا إلى مواقع تسريب البيانات على الإنترنت المظلم عبر رسائل الفدية، مما يزيد الضغط عليهم من خلال التهديد بكشف بياناتهم.

تشير الأدلة إلى أن عملية الفدية هذه قد تكون مرتبطة بجهات تابعة سابقة لمجموعة بلاك باستا، وذلك استنادًا إلى تكتيكات متداخلة مثل إرسال رسائل البريد الإلكتروني العشوائية، والتصيد الاحتيالي عبر مايكروسوفت تيمز، وإساءة استخدام أدوات الوصول عن بعد.

مؤشرات رئيسية للتسوية يجب مراقبتها

للتصدي لهذا التهديد المتطور، ينبغي على المنظمات مراقبة العلامات التحذيرية التالية:

• التثبيت أو التشغيل غير المصرح به لبرنامج QEMU
• مهام مجدولة مشبوهة تعمل بصلاحيات نظام مرتفعة
• نشاط غير معتاد لإعادة توجيه منفذ SSH
• أنفاق SSH الصادرة باستخدام منافذ غير قياسية

يمكن أن يؤدي الكشف المبكر عن هذه المؤشرات إلى تقليل مخاطر التعرض المطول للاختراق وفقدان البيانات بشكل كبير.