תוכנות הכופר של קינג תשלומים
מבצע הכופר Payouts King הציג טכניקה חמקנית ביותר על ידי מינוף QEMU כדלת אחורית הפוכה של SSH. גישה זו מאפשרת לתוקפים לפרוס מכונות וירטואליות (VM) נסתרות ישירות על מערכות פרוצות, תוך עקיפת בקרות אבטחה מסורתיות של נקודות קצה.
QEMU, פלטפורמת אמולטור מעבדים ווירטואליזציה בקוד פתוח, מאפשרת למערכות הפעלה לפעול כמכונות וירטואליות על גבי מכשיר מארח. מכיוון שרוב פתרונות האבטחה אינם יכולים לבדוק פעילות בתוך מכונות וירטואליות אלה, תוקפים מנצלים נקודה מתה זו כדי להפעיל מטענים זדוניים, לאחסן נתונים מזיקים וליצור מנהרות גישה מרחוק סודיות באמצעות חיבורי SSH.
טקטיקה זו אינה חדשה לחלוטין. ניצול לרעה דומה של QEMU נצפה בפעולות המקושרות לקבוצות כמו קבוצת תוכנות הכופר 3AM, LoudMiner וקמפיין הפישינג CRON#TRAP.
תוכן העניינים
בתוך קמפיין STAC4713
חוקרי אבטחה זיהו שני קמפיינים עיקריים הקשורים לפריסת QEMU, כאשר אחד מהם נקרא STAC4713, ונצפתה לראשונה בנובמבר 2025. קמפיין זה נקשר ישירות לפעולת הכופר Payouts King ויוחס לקבוצת GOLD ENCOUNTER.
GOLD ENCOUNTER ידועה במיקוד להיפר-ויזורים ובפריסת מצפנים בסביבות VMware ו-ESXi. במסגרת קמפיין זה, תוקפים מבססים עמידות וחמקנות על ידי יצירת משימה מתוזמנת בשם TPMProfiler, אשר מפעילה מכונה וירטואלית QEMU נסתרת עם הרשאות ברמת SYSTEM.
כדי להימנע מגילוי, קבצי דיסק וירטואלי זדוניים מוסווים כקבצי מסד נתונים ו-DLL לגיטימיים. בנוסף, העברת פורטים מוגדרת לאפשר גישה חשאית למערכת הנגועה דרך מנהרות SSH הפוכה. המכונה הווירטואלית שנפרסה מריץ את Alpine Linux 3.22.0 וכוללת ערכת כלים של כלי עזר לתוקפים כגון AdaptixC2, Chisel, BusyBox ו-Rclone.
נתיבי גישה וניצול ראשוניים
תוקפים הפגינו גמישות בקבלת גישה ראשונית, תוך שימוש בנקודות כניסה מרובות בהתאם לסביבת היעד. אירועים מוקדמים כללו חשיפה של מערכות VPN של SonicWall, בעוד שהתקפות אחרונות יותר ניצלו את הפגם CVE-2025-26399.
שיטות חדירה נוספות שנצפו בקמפיינים הבאים כוללות:
- פגיעה בשירותי VPN SSL חשופים של סיסקו
- הנדסה חברתית באמצעות Microsoft Teams, שבה תוקפים מתחזים לאנשי IT
- משלוח מטענים זדוניים באמצעות Quick Assist
גישות מגוונות אלה מדגישות שילוב של ניצול טכני והונאה מכוונת אנושית.
פעולות לאחר פגיעה וגניבת נתונים
לאחר שנמצאים בתוך רשת, תוקפים משתמשים בטכניקות מתקדמות לאחר ניצול נתונים כדי לחלץ נתונים רגישים ולהגדיל את אחיזתם. התהליך כרוך בדרך כלל ביצירת עותקי צל באמצעות VSS (vssuirun.exe), ולאחר מכן מינוף פרוטוקולי SMB כדי להעתיק קבצי מערכת קריטיים כגון NTDS.dit, SAM ו-SYSTEM registry hives לתוך ספריות זמניות.
בשלבים מאוחרים יותר, קבצים בינאריים לגיטימיים כמו ADNotificationManager.exe מנוצלים לרעה כדי להעלות בצד את המטענים הזדוניים, במיוחד רכיב של Havoc C2 (vcruntime140_1.dll). לאחר מכן מתבצעת סינון נתונים באמצעות Rclone, ומעביר מידע גנוב לשרתי SFTP מרוחקים.
יכולות כופר ואסטרטגיית הצפנה
זן הכופר Payouts King מפגין תחכום טכני חזק. הוא משלב טכניקות נרחבות של ערפול ואנטי-אנליזה כדי להתחמק מגילוי, תוך שמירה על עמידות במשימות מתוזמנות והשבתת כלי אבטחה באמצעות קריאות מערכת ברמה נמוכה.
מנגנון ההצפנה שלו משלב AES-256 במצב CTR עם RSA-4096, ומחיל הצפנה לסירוגין עבור קבצים גדולים יותר כדי לייעל את המהירות וההשפעה. הקורבנות מופנים לאתרי דליפות ברשת האפלה באמצעות הודעות כופר, מה שמגביר את הלחץ עקב איום חשיפת הנתונים.
ראיות מצביעות על כך שפעולת כופר זו עשויה להיות קשורה לשותפים לשעבר של קבוצת Black Basta, בהתבסס על טקטיקות חופפות כגון הפצצת ספאם, פישינג באמצעות Microsoft Teams וניצול לרעה של כלי גישה מרחוק.
אינדיקטורים מרכזיים לפשרה שיש לעקוב אחריהם
כדי להתגונן מפני איום מתפתח זה, על ארגונים לעקוב אחר סימני האזהרה הבאים:
- התקנות או ביצוע לא מורשות של QEMU
- משימות מתוזמנות חשודות הפועלות עם הרשאות SYSTEM מוגברות
- פעילות חריגה של העברת פורטים ב-SSH
- מנהרות SSH יוצאות באמצעות פורטים לא סטנדרטיים
גילוי מוקדם של אינדיקטורים אלה יכול להפחית משמעותית את הסיכון לפגיעה ממושכת ואובדן נתונים.
