Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Perisian tebusan Pembayaran King Ransomware

Pembayaran King Ransomware

Menjelang Mezo pada Perisian tebusan
Terjemahkan ke

Operasi ransomware Payouts King telah memperkenalkan teknik yang sangat mengelak dengan memanfaatkan QEMU sebagai pintu belakang SSH terbalik. Pendekatan ini membolehkan penyerang menggunakan mesin maya (VM) tersembunyi secara langsung pada sistem yang diceroboh, dengan berkesan memintas kawalan keselamatan titik akhir tradisional.

QEMU, sebuah emulator CPU sumber terbuka dan platform virtualisasi, membolehkan sistem pengendalian berjalan sebagai mesin maya pada peranti hos. Oleh kerana kebanyakan penyelesaian keselamatan tidak dapat memeriksa aktiviti di dalam VM ini, penyerang mengeksploitasi titik buta ini untuk melaksanakan muatan berniat jahat, menyimpan data berbahaya dan mewujudkan terowong akses jauh rahsia melalui sambungan SSH.

Taktik ini bukanlah sesuatu yang baharu sepenuhnya. Penyalahgunaan QEMU yang serupa telah diperhatikan dalam operasi yang dikaitkan dengan kumpulan seperti kumpulan ransomware 3AM, LoudMiner dan kempen pancingan data CRON#TRAP.

Di dalam Kempen STAC4713

Penyelidik keselamatan telah mengenal pasti dua kempen utama yang melibatkan penggunaan QEMU, dengan satu dikesan sebagai STAC4713, pertama kali diperhatikan pada November 2025. Kempen ini telah dikaitkan secara langsung dengan operasi ransomware Payouts King dan dikaitkan dengan kumpulan GOLD ENCOUNTER.

GOLD ENCOUNTER dikenali kerana menyasarkan hipervisor dan menggunakan penyulitan dalam persekitaran VMware dan ESXi. Dalam kempen ini, penyerang mewujudkan kegigihan dan kerahsiaan dengan mencipta tugasan berjadual bernama TPMProfiler, yang melancarkan mesin maya QEMU tersembunyi dengan keistimewaan peringkat SISTEM.

Untuk mengelakkan pengesanan, fail cakera maya yang berniat jahat disamarkan sebagai pangkalan data dan fail DLL yang sah. Di samping itu, penghantaran port dikonfigurasikan untuk membolehkan akses rahsia ke sistem yang dijangkiti melalui terowong SSH terbalik. VM yang digunakan menjalankan Alpine Linux 3.22.0 dan termasuk kit alat utiliti penyerang seperti AdaptixC2, Chisel, BusyBox dan Rclone.

Laluan Akses dan Eksploitasi Awal

Penyerang telah menunjukkan fleksibiliti dalam mendapatkan akses awal, menggunakan berbilang titik masuk bergantung pada persekitaran sasaran. Insiden awal melibatkan sistem VPN SonicWall yang terdedah, manakala serangan yang lebih baru mengeksploitasi kecacatan CVE-2025-26399.

Kaedah pencerobohan tambahan yang diperhatikan dalam kempen berikutnya termasuk:

  • Kompromi perkhidmatan VPN SSL Cisco yang terdedah
  • Kejuruteraan sosial melalui Microsoft Teams, di mana penyerang menyamar sebagai kakitangan IT
  • Penghantaran muatan berniat jahat melalui Quick Assist

Pendekatan yang pelbagai ini menonjolkan gabungan eksploitasi teknikal dan penipuan yang disasarkan kepada manusia.

Operasi Pasca-Kompromi dan Kecurian Data

Sebaik sahaja berada di dalam rangkaian, penyerang menggunakan teknik pasca eksploitasi lanjutan untuk mengekstrak data sensitif dan meningkatkan kedudukan mereka. Proses ini biasanya melibatkan penciptaan salinan bayangan menggunakan VSS (vssuirun.exe), diikuti dengan memanfaatkan protokol SMB untuk menyalin fail sistem kritikal seperti NTDS.dit, SAM dan sarang pendaftaran SYSTEM ke dalam direktori sementara.

Pada peringkat seterusnya, binari sah seperti ADNotificationManager.exe disalahgunakan untuk memuatkan muatan berniat jahat secara sampingan, khususnya komponen Havoc C2 (vcruntime140_1.dll). Pengekstrakan data kemudiannya dijalankan menggunakan Rclone, memindahkan maklumat yang dicuri ke pelayan SFTP jauh.

Keupayaan dan Strategi Penyulitan Ransomware

Strain ransomware Payouts King menunjukkan kecanggihan teknikal yang kukuh. Ia menggabungkan teknik pengeliruan dan anti-analisis yang meluas untuk mengelak pengesanan, sambil mengekalkan kegigihan melalui tugasan berjadual dan melumpuhkan alat keselamatan melalui panggilan sistem peringkat rendah.

Mekanisme penyulitannya menggabungkan AES-256 dalam mod CTR dengan RSA-4096, menggunakan penyulitan sekejap-sekejap untuk fail yang lebih besar bagi mengoptimumkan kelajuan dan impak. Mangsa diarahkan ke tapak kebocoran web gelap melalui nota tebusan, meningkatkan tekanan melalui ancaman pendedahan data.

Bukti menunjukkan bahawa operasi ransomware ini mungkin dikaitkan dengan bekas sekutu kumpulan Black Basta, berdasarkan taktik bertindih seperti pengeboman spam, pancingan data melalui Microsoft Teams dan penyalahgunaan alat akses jauh.

Petunjuk Utama Kompromi yang Perlu Diperhatikan

Untuk mempertahankan diri daripada ancaman yang semakin berkembang ini, organisasi harus memantau tanda-tanda amaran berikut:

  • Pemasangan atau pelaksanaan QEMU tanpa kebenaran
  • Tugasan berjadual yang mencurigakan berjalan dengan keistimewaan SISTEM yang tinggi
  • Aktiviti penghantaran port SSH yang luar biasa
  • Terowong SSH keluar menggunakan port bukan standard

Pengesanan awal penunjuk ini dapat mengurangkan risiko pencerobohan dan kehilangan data yang berpanjangan dengan ketara.

Trending

Paling banyak dilihat

Memuatkan...