قیمت چند مجوز تخفیف
پایگاه داده تهدید باج افزار پرداخت‌ها باج‌افزار King

پرداخت‌ها باج‌افزار King

تا Mezo در باج افزار
ترجمه به:

عملیات باج‌افزار Payouts King با استفاده از QEMU به عنوان یک درب پشتی معکوس SSH، یک تکنیک بسیار گریزان را معرفی کرده است. این رویکرد به مهاجمان اجازه می‌دهد تا ماشین‌های مجازی پنهان (VM) را مستقیماً روی سیستم‌های آسیب‌دیده مستقر کنند و عملاً کنترل‌های امنیتی سنتی نقطه پایانی را دور بزنند.

QEMU، یک شبیه‌ساز CPU متن‌باز و پلتفرم مجازی‌سازی، سیستم‌عامل‌ها را قادر می‌سازد تا به عنوان ماشین‌های مجازی روی یک دستگاه میزبان اجرا شوند. از آنجا که اکثر راه‌حل‌های امنیتی نمی‌توانند فعالیت درون این ماشین‌های مجازی را بررسی کنند، مهاجمان از این نقطه کور برای اجرای کدهای مخرب، ذخیره داده‌های مضر و ایجاد تونل‌های دسترسی از راه دور مخفی از طریق اتصالات SSH سوءاستفاده می‌کنند.

این تاکتیک کاملاً جدید نیست. سوءاستفاده‌ی مشابهی از QEMU در عملیات مرتبط با گروه‌هایی مانند گروه باج‌افزار 3AM، LoudMiner و کمپین فیشینگ CRON#TRAP مشاهده شده است.

درون کمپین STAC4713

محققان امنیتی دو کمپین بزرگ شامل استقرار QEMU را شناسایی کرده‌اند که یکی از آنها با نام STAC4713 ردیابی می‌شود و اولین بار در نوامبر 2025 مشاهده شد. این کمپین مستقیماً با عملیات باج‌افزار Payouts King مرتبط بوده و به گروه GOLD ENCOUNTER نسبت داده شده است.

بدافزار GOLD ENCOUNTER به دلیل هدف قرار دادن هایپروایزرها و استقرار رمزگذارها در محیط‌های VMware و ESXi شناخته شده است. در این کمپین، مهاجمان با ایجاد یک وظیفه زمان‌بندی شده به نام TPMProfiler، که یک ماشین مجازی QEMU مخفی با امتیازات سطح SYSTEM را راه‌اندازی می‌کند، پایداری و پنهان‌کاری را ایجاد می‌کنند.

برای جلوگیری از شناسایی، فایل‌های دیسک مجازی مخرب به عنوان فایل‌های پایگاه داده و DLL قانونی پنهان می‌شوند. علاوه بر این، پورت فورواردینگ طوری پیکربندی شده است که امکان دسترسی مخفیانه به سیستم آلوده را از طریق تونل‌های SSH معکوس فراهم کند. ماشین مجازی مستقر شده، Alpine Linux 3.22.0 را اجرا می‌کند و شامل مجموعه‌ای از ابزارهای مهاجم مانند AdaptixC2، Chisel، BusyBox و Rclone است.

مسیرهای دسترسی اولیه و بهره‌برداری

مهاجمان با استفاده از چندین نقطه ورود بسته به محیط هدف، انعطاف‌پذیری خود را در دسترسی اولیه نشان داده‌اند. حوادث اولیه شامل سیستم‌های VPN آسیب‌پذیر SonicWall بود، در حالی که حملات جدیدتر از نقص CVE-2025-26399 سوءاستفاده می‌کردند.

روش‌های نفوذ دیگری که در کمپین‌های بعدی مشاهده شدند عبارتند از:

  • نفوذ به سرویس‌های VPN SSL سیسکو که در معرض خطر هستند
  • مهندسی اجتماعی از طریق مایکروسافت تیمز، که در آن مهاجمان خود را به جای پرسنل فناوری اطلاعات جا می‌زنند.
  • تحویل بارهای مخرب از طریق Quick Assist

این رویکردهای متنوع، ترکیبی از سوءاستفاده فنی و فریب هدفمند انسانی را برجسته می‌کنند.

عملیات پس از نفوذ و سرقت داده‌ها

مهاجمان پس از ورود به شبکه، از تکنیک‌های پیشرفته پس از بهره‌برداری برای استخراج داده‌های حساس و افزایش نفوذ خود استفاده می‌کنند. این فرآیند معمولاً شامل ایجاد کپی‌های سایه با استفاده از VSS (vssuirun.exe) و به دنبال آن استفاده از پروتکل‌های SMB برای کپی کردن فایل‌های حیاتی سیستم مانند NTDS.dit، SAM و SYSTEM در دایرکتوری‌های موقت است.

در مراحل بعدی، فایل‌های باینری قانونی مانند ADNotificationManager.exe برای بارگذاری جانبی بارهای مخرب، به ویژه یک جزء Havoc C2 (vcruntime140_1.dll) مورد سوءاستفاده قرار می‌گیرند. سپس با استفاده از Rclone، استخراج داده‌ها انجام می‌شود و اطلاعات سرقت شده به سرورهای SFTP از راه دور منتقل می‌شود.

قابلیت‌های باج‌افزار و استراتژی رمزگذاری

باج‌افزار Payouts King پیچیدگی فنی بالایی را نشان می‌دهد. این باج‌افزار از تکنیک‌های مبهم‌سازی گسترده و ضدتحلیل برای جلوگیری از شناسایی استفاده می‌کند، در حالی که از طریق وظایف برنامه‌ریزی‌شده و غیرفعال کردن ابزارهای امنیتی از طریق فراخوانی‌های سیستمی سطح پایین، پایداری خود را حفظ می‌کند.

مکانیزم رمزگذاری آن، AES-256 را در حالت CTR با RSA-4096 ترکیب می‌کند و برای فایل‌های بزرگتر، رمزگذاری متناوب را اعمال می‌کند تا سرعت و تأثیر را بهینه کند. قربانیان از طریق یادداشت‌های باج‌خواهی به سایت‌های نشت اطلاعات در دارک وب هدایت می‌شوند و فشار را از طریق تهدید افشای اطلاعات افزایش می‌دهند.

شواهد نشان می‌دهد که این عملیات باج‌افزاری ممکن است بر اساس تاکتیک‌های همپوشانی مانند بمباران هرزنامه، فیشینگ از طریق Microsoft Teams و سوءاستفاده از ابزارهای دسترسی از راه دور، با وابستگان سابق گروه Black Basta مرتبط باشد.

شاخص‌های کلیدی سازش که باید زیر نظر داشت

برای دفاع در برابر این تهدید در حال تحول، سازمان‌ها باید علائم هشدار دهنده زیر را رصد کنند:

  • نصب یا اجرای غیرمجاز QEMU
  • وظایف زمان‌بندی‌شده مشکوکی که با امتیازات سیستمی بالا اجرا می‌شوند
  • فعالیت غیرمعمول انتقال پورت SSH
  • تونل‌های SSH خروجی با استفاده از پورت‌های غیر استاندارد

تشخیص زودهنگام این شاخص‌ها می‌تواند خطر طولانی شدن مدت زمان نفوذ و از دست رفتن داده‌ها را به میزان قابل توجهی کاهش دهد.

پرطرفدار

Forestrievic.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
مرور ایمن وب نیازمند هوشیاری مداوم است. وب‌سایت‌های مخرب به‌طور خاص برای سوءاستفاده از اعتماد کاربران از طریق تکنیک‌های فریبنده طراحی شده‌اند و یکی از تاکتیک‌های رایج، بررسی‌های جعلی CAPTCHA است....

کلاهبرداری ایمیلی امنیت برنامه‌های وب

فیشینگ, هرزنامه
در چشم‌انداز تهدیدهای امروزی، ایمیل همچنان یکی از رایج‌ترین نقاط ورود حملات سایبری است. کاربران باید هنگام برخورد با پیام‌های غیرمنتظره، به ویژه آنهایی که خواستار اقدام فوری هستند، هوشیار باشند. بسیاری از این ایمیل‌ها کلاهبرداری‌هایی هستند که با دقت طراحی شده‌اند و درک این نکته مهم است که آنها با وجود اینکه چقدر متقاعدکننده به نظر می‌رسند، به هیچ شرکت، سازمان یا نهاد قانونی مرتبط نیستند....

پربیننده ترین

بارگذاری...