पेआउट्स किंग रैंसमवेयर

पेआउट्स किंग रैंसमवेयर ऑपरेशन ने QEMU को रिवर्स SSH बैकडोर के रूप में उपयोग करके एक अत्यंत गुप्त तकनीक पेश की है। यह तरीका हमलावरों को प्रभावित सिस्टमों पर सीधे छिपे हुए वर्चुअल मशीन (VM) तैनात करने की अनुमति देता है, जिससे पारंपरिक एंडपॉइंट सुरक्षा नियंत्रणों को प्रभावी ढंग से दरकिनार किया जा सकता है।

QEMU, एक ओपन-सोर्स CPU एमुलेटर और वर्चुअलाइजेशन प्लेटफॉर्म है, जो ऑपरेटिंग सिस्टम को होस्ट डिवाइस पर वर्चुअल मशीन के रूप में चलाने में सक्षम बनाता है। चूंकि अधिकांश सुरक्षा समाधान इन वर्चुअल मशीनों के अंदर की गतिविधि की निगरानी नहीं कर सकते, इसलिए हमलावर इस खामी का फायदा उठाकर दुर्भावनापूर्ण पेलोड निष्पादित करते हैं, हानिकारक डेटा संग्रहीत करते हैं और SSH कनेक्शन के माध्यम से गुप्त रिमोट एक्सेस टनल स्थापित करते हैं।

यह रणनीति पूरी तरह से नई नहीं है। QEMU का इसी तरह का दुरुपयोग 3AM रैंसमवेयर समूह, LoudMiner और CRON#TRAP फ़िशिंग अभियान जैसे समूहों से जुड़े ऑपरेशनों में देखा गया है।

STAC4713 अभियान के भीतर

सुरक्षा शोधकर्ताओं ने QEMU तैनाती से जुड़े दो प्रमुख अभियानों की पहचान की है, जिनमें से एक को STAC4713 के रूप में ट्रैक किया गया है, जिसे पहली बार नवंबर 2025 में देखा गया था। इस अभियान को सीधे पेआउट्स किंग रैंसमवेयर ऑपरेशन से जोड़ा गया है और इसे गोल्ड एनकाउंटर समूह से संबंधित माना गया है।

गोल्ड एनकाउंटर हाइपरवाइज़र को निशाना बनाने और VMware और ESXi वातावरण में एन्क्रिप्टर तैनात करने के लिए जाना जाता है। इस अभियान के तहत, हमलावर TPMProfiler नामक एक निर्धारित कार्य बनाकर निरंतरता और गोपनीयता स्थापित करते हैं, जो सिस्टम-स्तरीय विशेषाधिकारों के साथ एक छिपी हुई QEMU वर्चुअल मशीन लॉन्च करता है।

पकड़े जाने से बचने के लिए, दुर्भावनापूर्ण वर्चुअल डिस्क फ़ाइलों को वैध डेटाबेस और DLL फ़ाइलों के रूप में छिपाया जाता है। इसके अतिरिक्त, रिवर्स SSH टनल के माध्यम से संक्रमित सिस्टम तक गुप्त रूप से पहुँचने के लिए पोर्ट फ़ॉरवर्डिंग कॉन्फ़िगर की जाती है। डिप्लॉय की गई VM में Alpine Linux 3.22.0 चलता है और इसमें AdaptixC2, Chisel, BusyBox और Rclone जैसे हमलावर यूटिलिटीज़ का एक टूलकिट शामिल है।

प्रारंभिक पहुंच और शोषण मार्ग

हमलावरों ने लक्ष्य वातावरण के आधार पर कई प्रवेश बिंदुओं का उपयोग करके प्रारंभिक पहुंच प्राप्त करने में लचीलापन दिखाया है। शुरुआती घटनाओं में असुरक्षित सोनिकवॉल वीपीएन सिस्टम शामिल थे, जबकि हाल के हमलों में CVE-2025-26399 खामी का फायदा उठाया गया।

बाद के अभियानों में देखी गई अतिरिक्त घुसपैठ विधियों में निम्नलिखित शामिल हैं:

• सिस्को एसएसएल वीपीएन सेवाओं के असुरक्षित होने का खतरा
• माइक्रोसॉफ्ट टीम्स के माध्यम से सोशल इंजीनियरिंग, जिसमें हमलावर आईटी कर्मियों का रूप धारण करते हैं।
• क्विक असिस्ट के माध्यम से दुर्भावनापूर्ण पेलोड की डिलीवरी

ये विविध दृष्टिकोण तकनीकी शोषण और मानव-लक्षित धोखे के मिश्रण को उजागर करते हैं।

समझौता होने के बाद की गतिविधियाँ और डेटा चोरी

एक बार नेटवर्क में प्रवेश करने के बाद, हमलावर संवेदनशील डेटा निकालने और अपनी पकड़ मजबूत करने के लिए उन्नत पोस्ट-एक्सप्लॉयटेशन तकनीकों का उपयोग करते हैं। इस प्रक्रिया में आमतौर पर VSS (vssuirun.exe) का उपयोग करके शैडो कॉपी बनाना शामिल होता है, जिसके बाद SMB प्रोटोकॉल का लाभ उठाकर NTDS.dit, SAM और SYSTEM रजिस्ट्री हाइव्स जैसी महत्वपूर्ण सिस्टम फाइलों को अस्थायी निर्देशिकाओं में कॉपी किया जाता है।

बाद के चरणों में, ADNotificationManager.exe जैसी वैध बाइनरी फ़ाइलों का दुरुपयोग करके दुर्भावनापूर्ण पेलोड, विशेष रूप से Havoc C2 घटक (vcruntime140_1.dll) को साइडलोड किया जाता है। फिर Rclone का उपयोग करके डेटा की चोरी की जाती है और चुराई गई जानकारी को दूरस्थ SFTP सर्वरों पर स्थानांतरित किया जाता है।

रैनसमवेयर की क्षमताएं और एन्क्रिप्शन रणनीति

पेआउट्स किंग रैंसमवेयर स्ट्रेन तकनीकी रूप से बेहद परिष्कृत है। यह पहचान से बचने के लिए व्यापक रूप से अस्पष्टीकरण और विश्लेषण-विरोधी तकनीकों का उपयोग करता है, साथ ही निर्धारित कार्यों के माध्यम से निरंतरता बनाए रखता है और निम्न-स्तरीय सिस्टम कॉल के माध्यम से सुरक्षा उपकरणों को निष्क्रिय कर देता है।

इसका एन्क्रिप्शन तंत्र AES-256 को CTR मोड में RSA-4096 के साथ जोड़ता है, और गति और प्रभाव को बेहतर बनाने के लिए बड़ी फ़ाइलों के लिए बीच-बीच में एन्क्रिप्शन लागू करता है। पीड़ितों को फिरौती के संदेशों के माध्यम से डार्क वेब लीक साइटों पर भेजा जाता है, जिससे डेटा लीक होने की धमकी के माध्यम से उन पर दबाव बढ़ता है।

सबूतों से पता चलता है कि यह रैंसमवेयर ऑपरेशन ब्लैक बास्ता समूह के पूर्व सहयोगियों से जुड़ा हो सकता है, क्योंकि इसमें स्पैम बॉम्बिंग, माइक्रोसॉफ्ट टीम्स के माध्यम से फ़िशिंग और रिमोट एक्सेस टूल्स के दुरुपयोग जैसी मिलती-जुलती रणनीति का इस्तेमाल किया गया है।

समझौते के प्रमुख संकेतकों पर नज़र रखें

इस बढ़ते खतरे से बचाव के लिए, संगठनों को निम्नलिखित चेतावनी संकेतों पर ध्यान देना चाहिए:

• QEMU की अनधिकृत स्थापना या निष्पादन
• संदिग्ध निर्धारित कार्य उच्चतर सिस्टम विशेषाधिकारों के साथ चल रहे हैं
• असामान्य SSH पोर्ट फ़ॉरवर्डिंग गतिविधि
• गैर-मानक पोर्ट का उपयोग करके आउटबाउंड एसएसएच टनल

इन संकेतकों का शीघ्र पता लगाने से दीर्घकालिक सुरक्षा उल्लंघन और डेटा हानि के जोखिम को काफी हद तक कम किया जा सकता है।