Πληρωμές King Ransomware
Η επιχείρηση ransomware Payouts King εισήγαγε μια εξαιρετικά εσφαλμένη τεχνική, αξιοποιώντας το QEMU ως αντίστροφη κερκόπορτα SSH. Αυτή η προσέγγιση επιτρέπει στους εισβολείς να αναπτύσσουν κρυφές εικονικές μηχανές (VM) απευθείας σε παραβιασμένα συστήματα, παρακάμπτοντας αποτελεσματικά τους παραδοσιακούς ελέγχους ασφαλείας τελικών σημείων.
Το QEMU, μια πλατφόρμα εξομοίωσης CPU ανοιχτού κώδικα και εικονικοποίησης, επιτρέπει στα λειτουργικά συστήματα να εκτελούνται ως εικονικές μηχανές σε μια κεντρική συσκευή. Επειδή οι περισσότερες λύσεις ασφαλείας δεν μπορούν να ελέγξουν τη δραστηριότητα μέσα σε αυτές τις εικονικές μηχανές, οι εισβολείς εκμεταλλεύονται αυτό το τυφλό σημείο για να εκτελέσουν κακόβουλα φορτία, να αποθηκεύσουν επιβλαβή δεδομένα και να δημιουργήσουν μυστικές σήραγγες απομακρυσμένης πρόσβασης μέσω συνδέσεων SSH.
Αυτή η τακτική δεν είναι εντελώς νέα. Παρόμοια κατάχρηση του QEMU έχει παρατηρηθεί σε επιχειρήσεις που συνδέονται με ομάδες όπως η ομάδα ransomware 3AM, η LoudMiner και η καμπάνια ηλεκτρονικού "ψαρέματος" CRON#TRAP.
Πίνακας περιεχομένων
Μέσα στην καμπάνια STAC4713
Οι ερευνητές ασφαλείας έχουν εντοπίσει δύο σημαντικές εκστρατείες που αφορούν την ανάπτυξη QEMU, με τη μία να καταγράφεται ως STAC4713, η οποία παρατηρήθηκε για πρώτη φορά τον Νοέμβριο του 2025. Αυτή η καμπάνια έχει συνδεθεί άμεσα με την επιχείρηση ransomware Payouts King και έχει αποδοθεί στην ομάδα GOLD ENCOUNTER.
Το GOLD ENCOUNTER είναι γνωστό για τη στόχευση hypervisors και την ανάπτυξη κρυπτογραφητών σε περιβάλλοντα VMware και ESXi. Στο πλαίσιο αυτής της καμπάνιας, οι εισβολείς δημιουργούν persistence και stealth δημιουργώντας μια προγραμματισμένη εργασία με το όνομα TPMProfiler, η οποία εκκινεί μια κρυφή εικονική μηχανή QEMU με δικαιώματα επιπέδου SYSTEM.
Για να αποφευχθεί η ανίχνευση, τα κακόβουλα αρχεία εικονικού δίσκου μεταμφιέζονται σε νόμιμα αρχεία βάσης δεδομένων και DLL. Επιπλέον, η προώθηση θυρών έχει ρυθμιστεί ώστε να επιτρέπει την μυστική πρόσβαση στο μολυσμένο σύστημα μέσω αντίστροφων σηράγγων SSH. Η αναπτυγμένη εικονική μηχανή εκτελεί το Alpine Linux 3.22.0 και περιλαμβάνει ένα σύνολο εργαλείων από βοηθητικά προγράμματα εισβολέων όπως AdaptixC2, Chisel, BusyBox και Rclone.
Αρχική Πρόσβαση και Εκμετάλλευση
Οι επιτιθέμενοι έχουν επιδείξει ευελιξία στην απόκτηση αρχικής πρόσβασης, χρησιμοποιώντας πολλαπλά σημεία εισόδου ανάλογα με το περιβάλλον-στόχο. Τα πρώτα περιστατικά αφορούσαν εκτεθειμένα συστήματα VPN της SonicWall, ενώ πιο πρόσφατες επιθέσεις εκμεταλλεύτηκαν το ελάττωμα CVE-2025-26399.
Πρόσθετες μέθοδοι εισβολής που παρατηρήθηκαν σε επόμενες καμπάνιες περιλαμβάνουν:
- Παραβίαση εκτεθειμένων υπηρεσιών Cisco SSL VPN
- Κοινωνική μηχανική μέσω του Microsoft Teams, όπου οι εισβολείς μιμούνται το προσωπικό IT
- Παράδοση κακόβουλων φορτίων μέσω του Quick Assist
Αυτές οι ποικίλες προσεγγίσεις αναδεικνύουν ένα μείγμα τεχνικής εκμετάλλευσης και ανθρωποκεντρικής εξαπάτησης.
Λειτουργίες μετά την παραβίαση και κλοπή δεδομένων
Μόλις εισέλθουν σε ένα δίκτυο, οι εισβολείς χρησιμοποιούν προηγμένες τεχνικές μετά την εκμετάλλευση για να εξαγάγουν ευαίσθητα δεδομένα και να κλιμακώσουν την παρουσία τους. Η διαδικασία συνήθως περιλαμβάνει τη δημιουργία σκιωδών αντιγράφων χρησιμοποιώντας VSS (vssuirun.exe), ακολουθούμενη από την αξιοποίηση πρωτοκόλλων SMB για την αντιγραφή κρίσιμων αρχείων συστήματος, όπως NTDS.dit, SAM και SYSTEM registry hoveds, σε προσωρινούς καταλόγους.
Σε μεταγενέστερα στάδια, νόμιμα δυαδικά αρχεία όπως το ADNotificationManager.exe καταχρώνται για την παράπλευρη φόρτωση κακόβουλων φορτίων, συγκεκριμένα ενός στοιχείου Havoc C2 (vcruntime140_1.dll). Στη συνέχεια, η εξαγωγή δεδομένων πραγματοποιείται χρησιμοποιώντας το Rclone, μεταφέροντας κλεμμένες πληροφορίες σε απομακρυσμένους διακομιστές SFTP.
Δυνατότητες Ransomware και Στρατηγική Κρυπτογράφησης
Το στέλεχος ransomware Payouts King επιδεικνύει ισχυρή τεχνική πολυπλοκότητα. Ενσωματώνει εκτεταμένες τεχνικές απόκρυψης και αντι-ανάλυσης για την αποφυγή ανίχνευσης, διατηρώντας παράλληλα την ανθεκτικότητα μέσω προγραμματισμένων εργασιών και απενεργοποιώντας τα εργαλεία ασφαλείας μέσω κλήσεων συστήματος χαμηλού επιπέδου.
Ο μηχανισμός κρυπτογράφησης που διαθέτει συνδυάζει το AES-256 σε λειτουργία CTR με το RSA-4096, εφαρμόζοντας διακοπτόμενη κρυπτογράφηση για μεγαλύτερα αρχεία για βελτιστοποίηση της ταχύτητας και του αντίκτυπου. Τα θύματα κατευθύνονται σε ιστότοπους διαρροής dark web μέσω σημειώσεων λύτρων, αυξάνοντας την πίεση μέσω της απειλής έκθεσης δεδομένων.
Τα στοιχεία υποδηλώνουν ότι αυτή η επιχείρηση ransomware μπορεί να συνδέεται με πρώην συνεργάτες της ομάδας Black Basta, με βάση αλληλεπικαλυπτόμενες τακτικές όπως spam bombing, phishing μέσω του Microsoft Teams και κατάχρηση εργαλείων απομακρυσμένης πρόσβασης.
Βασικοί δείκτες συμβιβασμού που πρέπει να προσέξετε
Για να αμυνθούν ενάντια σε αυτήν την εξελισσόμενη απειλή, οι οργανισμοί θα πρέπει να παρακολουθούν τα ακόλουθα προειδοποιητικά σημάδια:
- Μη εξουσιοδοτημένες εγκαταστάσεις ή εκτέλεση QEMU
- Ύποπτες προγραμματισμένες εργασίες που εκτελούνται με αυξημένα δικαιώματα SYSTEM
- Ασυνήθιστη δραστηριότητα προώθησης θύρας SSH
- Εξερχόμενες σήραγγες SSH που χρησιμοποιούν μη τυπικές θύρες
Η έγκαιρη ανίχνευση αυτών των δεικτών μπορεί να μειώσει σημαντικά τον κίνδυνο παρατεταμένης παραβίασης και απώλειας δεδομένων.
