Väljamaksed King Ransomware'ile
Lunavaraoperatsioon Payouts King on kasutusele võtnud ülimalt vältimatu tehnika, mis kasutab QEMU-d SSH-tagauksena. See lähenemisviis võimaldab ründajatel juurutada peidetud virtuaalmasinaid (VM-e) otse ohustatud süsteemidesse, möödudes tõhusalt traditsioonilistest lõpp-punkti turvakontrollidest.
QEMU, avatud lähtekoodiga protsessori emulaator ja virtualiseerimisplatvorm, võimaldab operatsioonisüsteemidel töötada hostseadmes virtuaalsete masinatena. Kuna enamik turvalahendusi ei suuda nende virtuaalmasinate sees toimuvat tegevust kontrollida, kasutavad ründajad seda pimeala pahatahtlike koormuste käivitamiseks, kahjulike andmete salvestamiseks ja salajaste kaugjuurdepääsu tunnelite loomiseks SSH-ühenduste kaudu.
See taktika pole täiesti uus. Sarnast QEMU kuritarvitamist on täheldatud selliste rühmitustega nagu 3AM lunavararühmitus, LoudMiner ja CRON#TRAP andmepüügikampaania seotud operatsioonides.
Sisukord
STAC4713 kampaania sees
Turvauurijad on tuvastanud kaks suurt QEMU juurutamisega seotud kampaaniat, millest üks registreeriti kui STAC4713 ja mida esmakordselt täheldati 2025. aasta novembris. See kampaania on otseselt seotud Payouts King lunavaraoperatsiooniga ja omistatud GOLD ENCOUNTER grupile.
GOLD ENCOUNTER on tuntud hüperviisorite sihtimise ja krüpteerijate juurutamise poolest VMware ja ESXi keskkondades. Selle kampaania käigus loovad ründajad püsivuse ja varjatuse, luues ajastatud ülesande nimega TPMProfiler, mis käivitab peidetud QEMU virtuaalmasina SYSTEM-taseme õigustega.
Avastamise vältimiseks maskeeritakse pahatahtlikud virtuaalketta failid legitiimseteks andmebaasi- ja DLL-failideks. Lisaks on pordi edastamine konfigureeritud nii, et see võimaldaks varjatud juurdepääsu nakatunud süsteemile SSH-tunnelite kaudu. Juurutatud virtuaalmasin töötab Alpine Linux 3.22.0-ga ja sisaldab ründaja utiliitide tööriistakomplekti, näiteks AdaptixC2, Chisel, BusyBox ja Rclone.
Esialgne juurdepääs ja ärakasutamise teed
Ründajad on näidanud üles paindlikkust esmase juurdepääsu saamisel, kasutades sihtkeskkonnast olenevalt mitut sisenemispunkti. Varased intsidendid hõlmasid SonicWall VPN-süsteemide paljastamist, samas kui uuemad rünnakud kasutasid ära CVE-2025-26399 viga.
Järgmistes kampaaniates täheldatud täiendavate sissetungimismeetodite hulka kuuluvad:
- Cisco SSL VPN-teenuste ohustamine
- Sotsiaalne manipuleerimine Microsoft Teamsi kaudu, kus ründajad esinevad IT-töötajatena
- Pahatahtlike koormuste edastamine kiirabi abil
Need mitmekesised lähenemisviisid toovad esile tehnilise ärakasutamise ja inimeste sihtimise pettuse segu.
Kompromiteerimisjärgsed toimingud ja andmevargus
Kui ründajad on võrku jõudnud, kasutavad nad tundlike andmete hankimiseks ja oma positsiooni laiendamiseks täiustatud järelrünnaku tehnikaid. Protsess hõlmab tavaliselt varikoopiate loomist VSS-i (vssuirun.exe) abil, millele järgneb SMB-protokollide kasutamine kriitiliste süsteemifailide (nt NTDS.dit, SAM ja SYSTEM registritaru) kopeerimiseks ajutistesse kataloogidesse.
Hilisemates etappides kuritarvitatakse legitiimseid binaarfaile, näiteks ADNotificationManager.exe, pahatahtlike koormuste, täpsemalt Havoc C2 komponendi (vcruntime140_1.dll), külglaadimiseks. Seejärel teostatakse andmete väljafiltreerimine Rclone'i abil, edastades varastatud teabe SFTP-serveritesse.
Lunavara võimekus ja krüpteerimisstrateegia
Payouts Kingi lunavara tüvi on tehniliselt väga keerukas. See sisaldab ulatuslikke hägustamis- ja analüüsivastaseid tehnikaid, et vältida avastamist, säilitades samal ajal püsivuse ajastatud ülesannete täitmisel ja keelates turvatööriistad madala taseme süsteemikõnede abil.
Selle krüpteerimismehhanism ühendab CTR-režiimis AES-256 RSA-4096-ga, rakendades suuremate failide puhul vahelduvat krüpteeringut kiiruse ja mõju optimeerimiseks. Ohvrid suunatakse lunaraha nõudvate märkuste kaudu tumeveebi lekke saitidele, mis suurendab survet andmete avalikustamise ohu kaudu.
Tõendid viitavad sellele, et see lunavaraoperatsioon võib olla seotud Black Basta rühmituse endiste sidusettevõtetega, tuginedes kattuvatele taktikatele, nagu rämpsposti pommitamine, andmepüük Microsoft Teamsi kaudu ja kaugjuurdepääsu tööriistade kuritarvitamine.
Peamised kompromissi näitajad, mida jälgida
Selle areneva ohu eest kaitsmiseks peaksid organisatsioonid jälgima järgmisi hoiatavaid märke:
- QEMU volitamata installimine või käivitamine
- Kahtlased ajastatud ülesanded töötavad kõrgendatud SÜSTEEMIõigustega
- Ebatavaline SSH portide edastamise tegevus
- Väljaminevad SSH tunnelid mittestandardsete portide kaudu
Nende näitajate varajane avastamine võib oluliselt vähendada pikaajalise ohu ja andmete kadumise ohtu.
