ការទូទាត់ King Ransomware

ប្រតិបត្តិការ Payouts King ransomware បានណែនាំបច្ចេកទេសគេចវេសខ្ពស់មួយដោយទាញយកអត្ថប្រយោជន៍ពី QEMU ជា backdoor SSH បញ្ច្រាស។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដាក់ពង្រាយម៉ាស៊ីននិម្មិតដែលលាក់ (VMs) ដោយផ្ទាល់នៅលើប្រព័ន្ធដែលរងការសម្របសម្រួល ដោយរំលងការគ្រប់គ្រងសុវត្ថិភាពចំណុចបញ្ចប់បែបប្រពៃណីប្រកបដោយប្រសិទ្ធភាព។

QEMU ដែលជាកម្មវិធីត្រាប់តាម CPU ប្រភពបើកចំហ និងវេទិកានិម្មិត អនុញ្ញាតឱ្យប្រព័ន្ធប្រតិបត្តិការដំណើរការជាម៉ាស៊ីននិម្មិតនៅលើឧបករណ៍ម៉ាស៊ីន។ ដោយសារតែដំណោះស្រាយសុវត្ថិភាពភាគច្រើនមិនអាចត្រួតពិនិត្យសកម្មភាពនៅខាងក្នុងម៉ាស៊ីននិម្មិតទាំងនេះបាន អ្នកវាយប្រហារទាញយកប្រយោជន៍ពីចំណុចងងឹតនេះដើម្បីប្រតិបត្តិបន្ទុកទិន្នន័យដែលមានគំនិតអាក្រក់ រក្សាទុកទិន្នន័យដែលបង្កគ្រោះថ្នាក់ និងបង្កើតផ្លូវរូងក្រោមដីចូលប្រើពីចម្ងាយដោយសម្ងាត់តាមរយៈការតភ្ជាប់ SSH។

យុទ្ធសាស្ត្រនេះមិនមែនជារឿងថ្មីទាំងស្រុងនោះទេ។ ការរំលោភបំពានស្រដៀងគ្នានេះទៅលើ QEMU ត្រូវបានគេសង្កេតឃើញនៅក្នុងប្រតិបត្តិការដែលភ្ជាប់ទៅនឹងក្រុមដូចជាក្រុម 3AM ransomware, LoudMiner និងយុទ្ធនាការ phishing CRON#TRAP។

នៅខាងក្នុងយុទ្ធនាការ STAC4713

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានកំណត់អត្តសញ្ញាណយុទ្ធនាការធំៗពីរដែលពាក់ព័ន្ធនឹងការដាក់ពង្រាយ QEMU ដោយយុទ្ធនាការមួយត្រូវបានតាមដានថាជា STAC4713 ដែលត្រូវបានគេសង្កេតឃើញជាលើកដំបូងនៅក្នុងខែវិច្ឆិកា ឆ្នាំ 2025។ យុទ្ធនាការនេះត្រូវបានភ្ជាប់ដោយផ្ទាល់ទៅនឹងប្រតិបត្តិការ Payouts King ransomware និងត្រូវបានសន្មតថាជារបស់ក្រុម GOLD ENCOUNTER។

GOLD ENCOUNTER ត្រូវបានគេស្គាល់ថាសម្រាប់ការកំណត់គោលដៅ hypervisors និងការដាក់ពង្រាយឧបករណ៍អ៊ិនគ្រីបនៅក្នុងបរិស្ថាន VMware និង ESXi។ នៅក្នុងយុទ្ធនាការនេះ អ្នកវាយប្រហារបង្កើតការតស៊ូ និងការលួចលាក់ដោយបង្កើតភារកិច្ចដែលបានកំណត់ពេលមួយដែលមានឈ្មោះថា TPMProfiler ដែលបើកដំណើរការម៉ាស៊ីននិម្មិត QEMU ដែលលាក់ជាមួយនឹងសិទ្ធិកម្រិតប្រព័ន្ធ។

ដើម្បីជៀសវាងការរកឃើញ ឯកសារថាសនិម្មិតដែលមានគំនិតអាក្រក់ត្រូវបានក្លែងបន្លំជាមូលដ្ឋានទិន្នន័យ និងឯកសារ DLL ស្របច្បាប់។ លើសពីនេះ ការបញ្ជូនបន្តច្រកត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីអនុញ្ញាតឱ្យមានការចូលប្រើដោយសម្ងាត់ទៅកាន់ប្រព័ន្ធដែលឆ្លងមេរោគតាមរយៈផ្លូវរូងក្រោមដី SSH បញ្ច្រាស។ ម៉ាស៊ីននិម្មិតដែលដាក់ពង្រាយដំណើរការ Alpine Linux 3.22.0 និងរួមបញ្ចូលឧបករណ៍នៃឧបករណ៍ប្រើប្រាស់របស់អ្នកវាយប្រហារដូចជា AdaptixC2, Chisel, BusyBox និង Rclone។

ផ្លូវចូលប្រើប្រាស់ដំបូង និងផ្លូវកេងប្រវ័ញ្ច

អ្នកវាយប្រហារបានបង្ហាញពីភាពបត់បែនក្នុងការទទួលបានការចូលប្រើដំបូង ដោយប្រើចំណុចចូលច្រើនអាស្រ័យលើបរិស្ថានគោលដៅ។ ឧប្បត្តិហេតុដំបូងៗពាក់ព័ន្ធនឹងប្រព័ន្ធ SonicWall VPN ដែលលាតត្រដាង ខណៈដែលការវាយប្រហារថ្មីៗបានទាញយកប្រយោជន៍ពីចំណុចខ្វះខាត CVE-2025-26399។

វិធីសាស្ត្រឈ្លានពានបន្ថែមដែលត្រូវបានសង្កេតឃើញនៅក្នុងយុទ្ធនាការជាបន្តបន្ទាប់រួមមាន៖

• ការលួចចូលប្រើប្រាស់សេវាកម្ម Cisco SSL VPN ដែលរងការប៉ះពាល់
• វិស្វកម្មសង្គមតាមរយៈ Microsoft Teams ដែលអ្នកវាយប្រហារធ្វើពុតជាបុគ្គលិក IT
• ការចែកចាយបន្ទុកព្យាបាទតាមរយៈ Quick Assist

វិធីសាស្រ្តចម្រុះទាំងនេះបង្ហាញពីការលាយបញ្ចូលគ្នានៃការកេងប្រវ័ញ្ចបច្ចេកទេស និងការបោកប្រាស់ដែលផ្តោតលើមនុស្ស។

ប្រតិបត្តិការក្រោយការសម្របសម្រួល និងការលួចទិន្នន័យ

នៅពេលដែលនៅខាងក្នុងបណ្តាញ អ្នកវាយប្រហារប្រើប្រាស់បច្ចេកទេសក្រោយការកេងប្រវ័ញ្ចកម្រិតខ្ពស់ ដើម្បីទាញយកទិន្នន័យរសើប និងបង្កើនការឈរជើងរបស់ពួកគេ។ ដំណើរការនេះជាធម្មតាពាក់ព័ន្ធនឹងការបង្កើតច្បាប់ចម្លងស្រមោលដោយប្រើ VSS (vssuirun.exe) បន្ទាប់មកដោយប្រើប្រាស់ពិធីការ SMB ដើម្បីចម្លងឯកសារប្រព័ន្ធសំខាន់ៗដូចជា NTDS.dit, SAM និង SYSTEM ទៅក្នុងថតឯកសារបណ្ដោះអាសន្ន។

នៅដំណាក់កាលក្រោយៗទៀត ឯកសារគោលពីរស្របច្បាប់ដូចជា ADNotificationManager.exe ត្រូវបានគេរំលោភបំពានដើម្បីផ្ទុកទិន្នន័យដែលមានគំនិតអាក្រក់ ជាពិសេសសមាសធាតុ Havoc C2 (vcruntime140_1.dll)។ បន្ទាប់មក ការលួចទិន្នន័យត្រូវបានធ្វើឡើងដោយប្រើ Rclone ដោយផ្ទេរព័ត៌មានដែលត្រូវបានគេលួចទៅម៉ាស៊ីនមេ SFTP ពីចម្ងាយ។

សមត្ថភាព Ransomware និងយុទ្ធសាស្ត្រអ៊ិនគ្រីប

មេរោគ Payouts King ransomware បង្ហាញពីភាពស្មុគស្មាញខាងបច្ចេកទេសខ្លាំង។ វារួមបញ្ចូលបច្ចេកទេសបិទបាំង និងប្រឆាំងការវិភាគយ៉ាងទូលំទូលាយ ដើម្បីគេចពីការរកឃើញ ខណៈពេលដែលរក្សាបាននូវនិរន្តរភាពតាមរយៈភារកិច្ចដែលបានកំណត់ពេល និងបិទឧបករណ៍សុវត្ថិភាពតាមរយៈការហៅប្រព័ន្ធកម្រិតទាប។

យន្តការអ៊ិនគ្រីបរបស់វារួមបញ្ចូលគ្នា AES-256 ក្នុងរបៀប CTR ជាមួយ RSA-4096 ដោយអនុវត្តការអ៊ិនគ្រីបមិនទៀងទាត់សម្រាប់ឯកសារធំៗ ដើម្បីបង្កើនប្រសិទ្ធភាពល្បឿន និងផលប៉ះពាល់។ ជនរងគ្រោះត្រូវបានដឹកនាំទៅកាន់គេហទំព័រលេចធ្លាយគេហទំព័រងងឹតតាមរយៈកំណត់ចំណាំលោះ ដែលបង្កើនសម្ពាធតាមរយៈការគំរាមកំហែងនៃការបង្ហាញទិន្នន័យ។

ភស្តុតាងបង្ហាញថា ប្រតិបត្តិការ ransomware នេះអាចមានទំនាក់ទំនងជាមួយអតីតសាខារបស់ក្រុម Black Basta ដោយផ្អែកលើយុទ្ធសាស្ត្រត្រួតស៊ីគ្នាដូចជាការទម្លាក់គ្រាប់បែកសារឥតបានការ ការបន្លំតាមរយៈ Microsoft Teams និងការរំលោភបំពានឧបករណ៍ចូលប្រើពីចម្ងាយ។

សូចនាករសំខាន់ៗនៃការសម្របសម្រួលដែលត្រូវតាមដាន

ដើម្បីការពារប្រឆាំងនឹងការគំរាមកំហែងដែលកំពុងវិវត្តនេះ អង្គការនានាគួរតែតាមដានសញ្ញាព្រមានដូចខាងក្រោម៖

• ការដំឡើង ឬការប្រតិបត្តិ QEMU ដោយគ្មានការអនុញ្ញាត
• ភារកិច្ច​ដែល​បាន​កំណត់​ពេល​វេលា​គួរ​ឲ្យ​សង្ស័យ​កំពុង​ដំណើរការ​ជាមួយ​នឹង​សិទ្ធិ​ប្រព័ន្ធ​ដែល​បាន​បង្កើន​កម្រិត
• សកម្មភាពបញ្ជូនបន្តច្រក SSH មិនធម្មតា
• ផ្លូវរូងក្រោមដី SSH ចេញដោយប្រើច្រកមិនស្តង់ដារ

ការរកឃើញសូចនាករទាំងនេះតាំងពីដំបូងអាចកាត់បន្ថយហានិភ័យនៃការលួចចូលទិន្នន័យរយៈពេលយូរ និងការបាត់បង់ទិន្នន័យបានយ៉ាងច្រើន។