Изплащания King Ransomware
Рансъмуер операцията Payouts King въведе силно уклончива техника, използвайки QEMU като обратна SSH задна врата. Този подход позволява на атакуващите да разполагат скрити виртуални машини (VM) директно върху компрометирани системи, като ефективно заобикалят традиционните контроли за сигурност на крайните точки.
QEMU, емулатор на процесор и платформа за виртуализация с отворен код, позволява на операционните системи да работят като виртуални машини на хост устройство. Тъй като повечето решения за сигурност не могат да проверяват активността вътре в тези виртуални машини, атакуващите използват това сляпо петно, за да изпълняват злонамерени полезни товари, да съхраняват вредни данни и да установяват скрити тунели за отдалечен достъп чрез SSH връзки.
Тази тактика не е съвсем нова. Подобна злоупотреба с QEMU е наблюдавана при операции, свързани с групи като групата за рансъмуер 3AM, LoudMiner и фишинг кампанията CRON#TRAP.
Съдържание
Вътре в кампанията STAC4713
Изследователи по сигурността са идентифицирали две основни кампании, включващи внедряване на QEMU, като едната е проследена като STAC4713 и е наблюдавана за първи път през ноември 2025 г. Тази кампания е пряко свързана с операцията за рансъмуер Payouts King и се приписва на групата GOLD ENCOUNTER.
GOLD ENCOUNTER е известен с атаките си срещу хипервизори и внедряването на криптиращи програми в среди на VMware и ESXi. В рамките на тази кампания, атакуващите установяват постоянство и скритост, като създават планирана задача, наречена TPMProfiler, която стартира скрита виртуална машина QEMU с привилегии на ниво SYSTEM.
За да се избегне откриване, злонамерените файлове на виртуални дискове се маскират като легитимни файлове с бази данни и DLL файлове. Освен това, пренасочването на портове е конфигурирано, за да се осигури скрит достъп до заразената система чрез обратни SSH тунели. Разположената виртуална машина работи с Alpine Linux 3.22.0 и включва набор от инструменти за атакуващи, като AdaptixC2, Chisel, BusyBox и Rclone.
Първоначален достъп и пътища за експлоатация
Атакуващите са демонстрирали гъвкавост при получаването на първоначален достъп, използвайки множество точки за вход в зависимост от целевата среда. Ранните инциденти са включвали открити VPN системи на SonicWall, докато по-скорошни атаки са използвали недостатъка CVE-2025-26399.
Допълнителни методи за проникване, наблюдавани в последващи кампании, включват:
- Компрометиране на открити SSL VPN услуги на Cisco
- Социално инженерство чрез Microsoft Teams, където нападателите се представят за ИТ персонал
- Доставка на злонамерени полезни товари чрез Quick Assist
Тези разнообразни подходи подчертават смесица от техническа експлоатация и измама, насочена към човека.
Операции след компрометиране и кражба на данни
Веднъж влезли в мрежа, нападателите използват усъвършенствани техники за последваща експлоатация, за да извлекат чувствителни данни и да увеличат присъствието си. Процесът обикновено включва създаване на скрити копия с помощта на VSS (vssuirun.exe), последвано от използване на SMB протоколи за копиране на критични системни файлове, като NTDS.dit, SAM и SYSTEM системни кошери, във временни директории.
В по-късни етапи, легитимни двоични файлове като ADNotificationManager.exe се злоупотребяват за странично зареждане на злонамерени полезни товари, по-специално компонент Havoc C2 (vcruntime140_1.dll). След това се извършва извличане на данни с помощта на Rclone, прехвърляйки открадната информация към отдалечени SFTP сървъри.
Възможности за рансъмуер и стратегия за криптиране
Щамът на рансъмуер вируса Payouts King демонстрира силно техническо усъвършенстване. Той включва обширни техники за обфускация и антианализ, за да избегне откриването, като същевременно поддържа постоянство чрез планирани задачи и деактивира инструментите за сигурност чрез системни извиквания на ниско ниво.
Механизмът му за криптиране комбинира AES-256 в CTR режим с RSA-4096, прилагайки периодично криптиране за по-големи файлове, за да оптимизира скоростта и въздействието. Жертвите се насочват към сайтове за изтичане на данни от тъмната мрежа чрез известия за откуп, което увеличава натиска чрез заплахата от разкриване на данни.
Доказателствата сочат, че тази операция за разпространение на ransomware може да е свързана с бивши членове на групата Black Basta, въз основа на припокриващи се тактики като спам бомбардировки, фишинг чрез Microsoft Teams и злоупотреба с инструменти за отдалечен достъп.
Ключови индикатори за компромис, които трябва да се следят
За да се защитят от тази променяща се заплаха, организациите трябва да следят за следните предупредителни знаци:
- Неоторизирани инсталации или изпълнение на QEMU
- Подозрителни планирани задачи, изпълнявани с повишени системни привилегии
- Необичайна активност при пренасочване на SSH портове
- Изходящи SSH тунели, използващи нестандартни портове
Ранното откриване на тези индикатори може значително да намали риска от продължително компрометиране и загуба на данни.
