Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Ransomware Kifizetések King Ransomware

Kifizetések King Ransomware

Mezo -ra Ransomware-ben
Fordítás ide:

A Payouts King zsarolóvírus-művelet egy rendkívül kitérő technikát vezetett be a QEMU-t fordított SSH hátsó ajtóként használva. Ez a megközelítés lehetővé teszi a támadók számára, hogy rejtett virtuális gépeket (VM-eket) telepítsenek közvetlenül a feltört rendszereken, hatékonyan megkerülve a hagyományos végpontbiztonsági ellenőrzéseket.

A QEMU, egy nyílt forráskódú CPU-emulátor és virtualizációs platform, lehetővé teszi az operációs rendszerek virtuális gépként való futtatását egy gazdagépen. Mivel a legtöbb biztonsági megoldás nem tudja ellenőrizni a virtuális gépeken belüli tevékenységeket, a támadók ezt a vakfoltot kihasználva rosszindulatú adatokat futtathatnak, káros adatokat tárolhatnak, és titkos távoli hozzáférési alagutak létrehozására szolgálhatnak SSH-kapcsolatokon keresztül.

Ez a taktika nem teljesen új. A QEMU hasonló visszaéléseit olyan csoportokhoz kapcsolódó műveletekben is megfigyelték, mint a 3AM zsarolóvírus-csoport, a LoudMiner és a CRON#TRAP adathalász kampány.

A STAC4713 kampányon belül

Biztonsági kutatók két nagyobb, QEMU telepítését magában foglaló kampányt azonosítottak, az egyiket STAC4713 néven követték nyomon, és először 2025 novemberében figyelték meg. Ez a kampány közvetlenül a Payouts King zsarolóvírus-művelethez kapcsolódik, és a GOLD ENCOUNTER csoporthoz köthető.

A GOLD ENCOUNTER arról ismert, hogy hipervizorokat céloz meg és titkosítókat telepít VMware és ESXi környezetekben. Ebben a kampányban a támadók egy TPMProfiler nevű ütemezett feladat létrehozásával biztosítják a lopakodást és a perzisztenciát, amely egy rejtett QEMU virtuális gépet indít el SYSTEM szintű jogosultságokkal.

Az észlelés elkerülése érdekében a rosszindulatú virtuális lemezfájlokat legitim adatbázis- és DLL-fájlokként álcázzák. Ezenkívül a porttovábbítás úgy van konfigurálva, hogy lehetővé tegye a fertőzött rendszerhez való titkos hozzáférést fordított SSH-alagutakon keresztül. A telepített virtuális gép Alpine Linux 3.22.0 operációs rendszert futtat, és olyan támadó segédprogramokat tartalmaz, mint az AdaptixC2, a Chisel, a BusyBox és az Rclone.

Kezdeti hozzáférési és kiaknázási útvonalak

A támadók rugalmasságot mutattak a kezdeti hozzáférés megszerzésében, a célkörnyezettől függően több belépési pontot is használva. A korai incidensek során SonicWall VPN-rendszereket fedtek le, míg a legújabb támadások a CVE-2025-26399 hibát használták ki.

A későbbi kampányokban megfigyelt további behatolási módszerek a következők:

  • A Cisco SSL VPN szolgáltatások feltörése
  • Szociális manipuláció a Microsoft Teamsen keresztül, ahol a támadók informatikai személyzetnek adják ki magukat
  • Kártékony hasznos adatok kézbesítése a Quick Assist segítségével

Ezek a változatos megközelítések a technikai kizsákmányolás és az emberre irányuló megtévesztés keverékét emelik ki.

Kompromittáció utáni műveletek és adatlopás

Miután bejutottak egy hálózatba, a támadók fejlett utólagos támadási technikákat alkalmaznak érzékeny adatok kinyerésére és pozíciójuk növelésére. A folyamat jellemzően árnyékmásolatok létrehozását foglalja magában VSS (vssuirun.exe) használatával, majd SMB protokollok használatával kritikus rendszerfájlokat, például NTDS.dit, SAM és SYSTEM rendszerleíró adatbázisokat másolnak ideiglenes könyvtárakba.

Későbbi szakaszokban olyan legitim bináris fájlokat, mint az ADNotificationManager.exe, használnak rosszindulatú fájlok, konkrétan egy Havoc C2 komponens (vcruntime140_1.dll) betöltésére. Az adatok ellopása ezután az Rclone segítségével történik, és az ellopott információkat távoli SFTP-kiszolgálókra továbbítják.

Zsarolóvírus-képességek és titkosítási stratégia

A Payouts King zsarolóvírus-törzs rendkívül kifinomult technikai megoldásokat kínál. Kiterjedt obfuszkálási és anti-analízis technikákat alkalmaz az észlelés elkerülése érdekében, miközben az ütemezett feladatokon keresztül is fenntartja a perzisztenciáját, és alacsony szintű rendszerhívásokkal letiltja a biztonsági eszközöket.

Titkosítási mechanizmusa az AES-256 CTR módú titkosítását RSA-4096-tal kombinálja, szakaszos titkosítást alkalmazva a nagyobb fájlok esetén a sebesség és a hatékonyság optimalizálása érdekében. Az áldozatokat váltságdíjat követelő üzeneteken keresztül sötét webes szivárogtató oldalakra irányítják, növelve a nyomást az adatszivárgás veszélyével.

A bizonyítékok arra utalnak, hogy ez a zsarolóvírus-művelet a Black Basta csoport korábbi tagjaihoz köthető, olyan átfedő taktikák alapján, mint a spambombázás, a Microsoft Teamsen keresztüli adathalászat és a távoli hozzáférési eszközökkel való visszaélés.

A kompromisszum kulcsfontosságú mutatói, amelyeket érdemes figyelni

A folyamatosan változó fenyegetés elleni védekezés érdekében a szervezeteknek a következő figyelmeztető jeleket kell figyelniük:

  • QEMU jogosulatlan telepítése vagy végrehajtása
  • Gyanús ütemezett feladatok futnak emelt szintű SYSTEM jogosultságokkal
  • Szokatlan SSH porttovábbítási tevékenység
  • Kimenő SSH alagutak nem szabványos portokon keresztül

Ezen indikátorok korai felismerése jelentősen csökkentheti az elhúzódó adatvesztés és kompromittálás kockázatát.

Felkapott

Webalkalmazás-biztonsági e-mailes átverés

Adathalászat, Spam
A mai fenyegetési környezetben az e-mail továbbra is az egyik leggyakoribb belépési pont a kibertámadások számára. A felhasználóknak ébernek kell lenniük a váratlan üzenetek, különösen az azonnali cselekvésre felszólító üzenetek kezelésekor. Ezek közül az e-mailek közül sok gondosan kidolgozott átverés, és fontos megérteni, hogy nem kapcsolódnak semmilyen legitim vállalathoz, szervezethez vagy...

Legnézettebb

Betöltés...