बहु-लाइसेन्स छूट उद्धरण
खतरा डाटाबेस Ransomware भुक्तानी राजा र्‍यान्समवेयर

भुक्तानी राजा र्‍यान्समवेयर

Ransomware मा Mezo सम्म
यसमा अनुवाद गर्नुहोस्:

पेआउट्स किंग र्यान्समवेयर अपरेशनले QEMU लाई रिभर्स SSH ब्याकडोरको रूपमा प्रयोग गरेर अत्यधिक छलकपट गर्ने प्रविधि प्रस्तुत गरेको छ। यो दृष्टिकोणले आक्रमणकारीहरूलाई परम्परागत अन्त्य बिन्दु सुरक्षा नियन्त्रणहरूलाई प्रभावकारी रूपमा बाइपास गर्दै, सम्झौता गरिएका प्रणालीहरूमा सिधै लुकेका भर्चुअल मेसिनहरू (VMs) तैनाथ गर्न अनुमति दिन्छ।

QEMU, एक खुला-स्रोत CPU इमुलेटर र भर्चुअलाइजेशन प्लेटफर्मले अपरेटिङ सिस्टमहरूलाई होस्ट उपकरणमा भर्चुअल मेसिनको रूपमा चलाउन सक्षम बनाउँछ। धेरैजसो सुरक्षा समाधानहरूले यी VM हरू भित्र गतिविधि निरीक्षण गर्न नसक्ने हुनाले, आक्रमणकारीहरूले दुर्भावनापूर्ण पेलोडहरू कार्यान्वयन गर्न, हानिकारक डेटा भण्डारण गर्न र SSH जडानहरू मार्फत गोप्य रिमोट पहुँच टनेलहरू स्थापना गर्न यो ब्लाइन्ड स्पटको शोषण गर्छन्।

यो रणनीति पूर्णतया नयाँ होइन। QEMU को यस्तै दुरुपयोग 3AM ransomware समूह, LoudMiner, र CRON#TRAP फिशिङ अभियान जस्ता समूहहरूसँग सम्बन्धित अपरेशनहरूमा अवलोकन गरिएको छ।

STAC4713 अभियान भित्र

सुरक्षा अनुसन्धानकर्ताहरूले QEMU तैनाती सम्बन्धी दुई प्रमुख अभियानहरू पहिचान गरेका छन्, जसमध्ये एउटा STAC4713 को रूपमा ट्र्याक गरिएको थियो, जुन पहिलो पटक नोभेम्बर २०२५ मा अवलोकन गरिएको थियो। यो अभियानलाई Payouts King ransomware सञ्चालनसँग प्रत्यक्ष रूपमा जोडिएको छ र GOLD ENCOUNTER समूहलाई श्रेय दिइएको छ।

GOLD ENCOUNTER हाइपरभाइजरहरूलाई लक्षित गर्न र VMware र ESXi वातावरणमा एन्क्रिप्टरहरू तैनाथ गर्नको लागि परिचित छ। यस अभियान भित्र, आक्रमणकारीहरूले TPMProfiler नामक एक निर्धारित कार्य सिर्जना गरेर दृढता र चोरी स्थापित गर्छन्, जसले SYSTEM-स्तर विशेषाधिकारहरू सहितको लुकेको QEMU भर्चुअल मेसिन सुरु गर्दछ।

पत्ता लगाउनबाट बच्नको लागि, दुर्भावनापूर्ण भर्चुअल डिस्क फाइलहरूलाई वैध डाटाबेस र DLL फाइलहरूको रूपमा भेषमा राखिन्छ। थप रूपमा, पोर्ट फर्वार्डिङलाई रिभर्स SSH टनेलहरू मार्फत संक्रमित प्रणालीमा गोप्य पहुँच सक्षम गर्न कन्फिगर गरिएको छ। तैनाथ गरिएको VM ले Alpine Linux 3.22.0 चलाउँछ र AdaptixC2, Chisel, BusyBox, र Rclone जस्ता आक्रमणकारी उपयोगिताहरूको टुलकिट समावेश गर्दछ।

प्रारम्भिक पहुँच र शोषण मार्गहरू

आक्रमणकारीहरूले लक्षित वातावरणमा निर्भर गर्दै धेरै प्रविष्टि बिन्दुहरू प्रयोग गरेर प्रारम्भिक पहुँच प्राप्त गर्न लचिलोपन प्रदर्शन गरेका छन्। प्रारम्भिक घटनाहरूले SonicWall VPN प्रणालीहरू उजागर गरे, जबकि हालैका आक्रमणहरूले CVE-2025-26399 त्रुटिको शोषण गरे।

पछिल्ला अभियानहरूमा अवलोकन गरिएका थप घुसपैठ विधिहरू समावेश छन्:

  • खुला सिस्को SSL VPN सेवाहरूको सम्झौता
  • माइक्रोसफ्ट टिम्स मार्फत सामाजिक इन्जिनियरिङ, जहाँ आक्रमणकारीहरूले IT कर्मचारीहरूको नक्कल गर्छन्
  • क्विक असिस्ट मार्फत मालिसियस पेलोडहरूको डेलिभरी

यी विविध दृष्टिकोणहरूले प्राविधिक शोषण र मानव-लक्षित छलको मिश्रणलाई हाइलाइट गर्दछ।

सम्झौता पछिको सञ्चालन र डेटा चोरी

नेटवर्क भित्र पसेपछि, आक्रमणकारीहरूले संवेदनशील डेटा निकाल्न र आफ्नो पकड बढाउन उन्नत पोस्ट-शोषण प्रविधिहरू प्रयोग गर्छन्। प्रक्रियामा सामान्यतया VSS (vssuirun.exe) प्रयोग गरेर छायाँ प्रतिलिपिहरू सिर्जना गर्ने समावेश हुन्छ, त्यसपछि NTDS.dit, SAM, र SYSTEM रजिस्ट्री हाइभहरू जस्ता महत्वपूर्ण प्रणाली फाइलहरू अस्थायी निर्देशिकाहरूमा प्रतिलिपि गर्न SMB प्रोटोकलहरू प्रयोग गरिन्छ।

पछिल्ला चरणहरूमा, ADNotificationManager.exe जस्ता वैध बाइनरीहरूलाई दुर्भावनापूर्ण पेलोडहरू साइडलोड गर्न दुरुपयोग गरिन्छ, विशेष गरी Havoc C2 कम्पोनेन्ट (vcruntime140_1.dll)। त्यसपछि डेटा एक्सफिल्टरेशन Rclone प्रयोग गरेर गरिन्छ, चोरी गरिएको जानकारी टाढाको SFTP सर्भरहरूमा स्थानान्तरण गरिन्छ।

र्‍यान्समवेयर क्षमताहरू र इन्क्रिप्शन रणनीति

पेआउट्स किंग र्यान्समवेयर स्ट्रेनले बलियो प्राविधिक परिष्कार प्रदर्शन गर्दछ। यसले पत्ता लगाउनबाट बच्न व्यापक अस्पष्टता र विश्लेषण विरोधी प्रविधिहरू समावेश गर्दछ, जबकि निर्धारित कार्यहरू मार्फत दृढता कायम राख्छ र निम्न-स्तर प्रणाली कलहरू मार्फत सुरक्षा उपकरणहरू असक्षम पार्छ।

यसको इन्क्रिप्शन मेकानिजमले CTR मोडमा AES-256 लाई RSA-4096 सँग जोड्दछ, गति र प्रभावलाई अनुकूलन गर्न ठूला फाइलहरूको लागि अन्तरिम इन्क्रिप्शन लागू गर्दछ। फिरौती नोटहरू मार्फत पीडितहरूलाई डार्क वेब चुहावट साइटहरूमा निर्देशित गरिन्छ, डेटा एक्सपोजरको खतरा मार्फत दबाब बढाउँछ।

प्रमाणहरूले सुझाव दिन्छ कि यो ransomware अपरेशन ब्ल्याक बास्टा समूहका पूर्व सहयोगीहरूसँग जोडिएको हुन सक्छ, स्प्याम बम विस्फोट, माइक्रोसफ्ट टोलीहरू मार्फत फिसिङ, र रिमोट पहुँच उपकरणहरूको दुरुपयोग जस्ता ओभरल्यापिङ रणनीतिहरूमा आधारित।

हेर्नको लागि सम्झौताका प्रमुख सूचकहरू

यस विकसित खतराबाट बच्न, संस्थाहरूले निम्न चेतावनी संकेतहरूको निगरानी गर्नुपर्छ:

  • QEMU को अनधिकृत स्थापना वा कार्यान्वयन
  • उन्नत SYSTEM विशेषाधिकारहरू सहित सञ्चालन भइरहेका शंकास्पद तालिकाबद्ध कार्यहरू
  • असामान्य SSH पोर्ट फर्वार्डिङ गतिविधि
  • गैर-मानक पोर्टहरू प्रयोग गरेर आउटबाउन्ड SSH सुरुङहरू

यी सूचकहरूको प्रारम्भिक पहिचानले लामो समयसम्म सम्झौता र डेटा हराउने जोखिमलाई उल्लेखनीय रूपमा कम गर्न सक्छ।

ट्रेन्डिङ

स्न्यापीक्लायन्ट मालवेयर

मालवेयर, रिमोट प्रशासन उपकरणहरू
SnappyClient एक उच्च उन्नत मालवेयर हो जुन C++ मा लेखिएको छ र HijackLoader भनेर चिनिने लोडर मार्फत वितरण गरिन्छ। यसले रिमोट एक्सेस ट्रोजन (RAT) को रूपमा काम गर्छ, जसले साइबर अपराधीहरूलाई सम्झौता...

Forestrievic.com

दुष्ट वेबसाइटहरू, एडवेयर, ब्राउजर अपहरणकर्ताहरू
सुरक्षित रूपमा वेब ब्राउज गर्न निरन्तर सतर्कता आवश्यक पर्दछ। दुष्ट वेबसाइटहरू विशेष गरी भ्रामक प्रविधिहरू मार्फत प्रयोगकर्ताको विश्वासको शोषण गर्न इन्जिनियर गरिएका हुन्छन्, र बढ्दो रूपमा सामान्य...

वेब एप सुरक्षा इमेल घोटाला

फिसिङ, स्प्याम
आजको खतरापूर्ण परिदृश्यमा, इमेल साइबर आक्रमणको सबैभन्दा सामान्य प्रवेश बिन्दुहरू मध्ये एक हो। अप्रत्याशित सन्देशहरूसँग व्यवहार गर्दा प्रयोगकर्ताहरू सतर्क रहनुपर्छ, विशेष गरी तत्काल कारबाही गर्न आग्रह गर्नेहरू। यी मध्ये धेरै इमेलहरू सावधानीपूर्वक बनाइएका घोटालाहरू हुन्, र यो बुझ्नु महत्त्वपूर्ण छ कि तिनीहरू कुनै पनि वैध कम्पनीहरू, संस्थाहरू, वा संस्थाहरूसँग सम्बन्धित छैनन्, यद्यपि तिनीहरू...

धेरै हेरिएको

Eporner.com ले

मुद्दा
23,387
इन्टरनेट उपयोगी सामग्री, मनोरञ्जन र जानकारीले भरिएको विशाल ठाउँ हो—तर यसका अँध्यारा कुनाहरू पनि छन्। तपाईं कुनै कार्यक्रम स्ट्रिम गर्दै हुनुहुन्छ, एप डाउनलोड गर्दै हुनुहुन्छ, वा वयस्क सामग्री...

Fuq.com

रोग विरोधी स्पाइवेयर कार्यक्रम, म्याक मालवेयर
21,258
Fuq.com एक एडवेयर-प्रकारको कार्यक्रम हो जसले अश्लील सामग्री भएका वेबसाइटहरूलाई बढावा दिन्छ। यस सम्भावित अवांछित कार्यक्रम (PUP) को विज्ञापन अभियानहरू धेरै आक्रामक छन्। तिनीहरूले आफ्ना पीडितहरूलाई...
लोड गर्दै...