ਪੇਆਉਟ ਕਿੰਗ ਰੈਨਸਮਵੇਅਰ

ਪੇਆਉਟਸ ਕਿੰਗ ਰੈਨਸਮਵੇਅਰ ਓਪਰੇਸ਼ਨ ਨੇ QEMU ਨੂੰ ਇੱਕ ਰਿਵਰਸ SSH ਬੈਕਡੋਰ ਵਜੋਂ ਵਰਤ ਕੇ ਇੱਕ ਬਹੁਤ ਹੀ ਬਚਣ ਵਾਲੀ ਤਕਨੀਕ ਪੇਸ਼ ਕੀਤੀ ਹੈ। ਇਹ ਪਹੁੰਚ ਹਮਲਾਵਰਾਂ ਨੂੰ ਰਵਾਇਤੀ ਐਂਡਪੁਆਇੰਟ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ, ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਲੁਕੀਆਂ ਹੋਈਆਂ ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ (VMs) ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

QEMU, ਇੱਕ ਓਪਨ-ਸੋਰਸ CPU ਇਮੂਲੇਟਰ ਅਤੇ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਪਲੇਟਫਾਰਮ, ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ ਨੂੰ ਇੱਕ ਹੋਸਟ ਡਿਵਾਈਸ 'ਤੇ ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ ਦੇ ਤੌਰ 'ਤੇ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਕਿਉਂਕਿ ਜ਼ਿਆਦਾਤਰ ਸੁਰੱਖਿਆ ਹੱਲ ਇਹਨਾਂ VM ਦੇ ਅੰਦਰ ਗਤੀਵਿਧੀ ਦੀ ਜਾਂਚ ਨਹੀਂ ਕਰ ਸਕਦੇ, ਹਮਲਾਵਰ ਇਸ ਅੰਨ੍ਹੇ ਸਥਾਨ ਦਾ ਸ਼ੋਸ਼ਣ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਨੁਕਸਾਨਦੇਹ ਡੇਟਾ ਸਟੋਰ ਕਰਨ ਅਤੇ SSH ਕਨੈਕਸ਼ਨਾਂ ਰਾਹੀਂ ਗੁਪਤ ਰਿਮੋਟ ਐਕਸੈਸ ਟਨਲ ਸਥਾਪਤ ਕਰਨ ਲਈ ਕਰਦੇ ਹਨ।

ਇਹ ਚਾਲ ਬਿਲਕੁਲ ਨਵੀਂ ਨਹੀਂ ਹੈ। QEMU ਦੀ ਇਸੇ ਤਰ੍ਹਾਂ ਦੀ ਦੁਰਵਰਤੋਂ 3AM ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ, ਲਾਊਡਮਾਈਨਰ, ਅਤੇ CRON#TRAP ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਵਰਗੇ ਸਮੂਹਾਂ ਨਾਲ ਜੁੜੇ ਕਾਰਜਾਂ ਵਿੱਚ ਦੇਖੀ ਗਈ ਹੈ।

STAC4713 ਮੁਹਿੰਮ ਦੇ ਅੰਦਰ

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ QEMU ਤੈਨਾਤੀ ਨਾਲ ਸਬੰਧਤ ਦੋ ਪ੍ਰਮੁੱਖ ਮੁਹਿੰਮਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨੂੰ STAC4713 ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਸੀ, ਜੋ ਪਹਿਲੀ ਵਾਰ ਨਵੰਬਰ 2025 ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਸੀ। ਇਸ ਮੁਹਿੰਮ ਨੂੰ ਸਿੱਧੇ ਤੌਰ 'ਤੇ Payouts King ransomware ਓਪਰੇਸ਼ਨ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ ਅਤੇ GOLD ENCOUNTER ਸਮੂਹ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਇਆ ਗਿਆ ਹੈ।

GOLD ENCOUNTER, VMware ਅਤੇ ESXi ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਹਾਈਪਰਵਾਈਜ਼ਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਅਤੇ ਐਨਕ੍ਰਿਪਟਰਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਮੁਹਿੰਮ ਦੇ ਅੰਦਰ, ਹਮਲਾਵਰ TPMProfiler ਨਾਮਕ ਇੱਕ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਬਣਾ ਕੇ ਦ੍ਰਿੜਤਾ ਅਤੇ ਸਟੀਲਥ ਸਥਾਪਤ ਕਰਦੇ ਹਨ, ਜੋ SYSTEM-ਪੱਧਰ ਦੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨਾਲ ਇੱਕ ਲੁਕਵੀਂ QEMU ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਲਾਂਚ ਕਰਦਾ ਹੈ।

ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ, ਖਤਰਨਾਕ ਵਰਚੁਅਲ ਡਿਸਕ ਫਾਈਲਾਂ ਨੂੰ ਜਾਇਜ਼ ਡੇਟਾਬੇਸ ਅਤੇ DLL ਫਾਈਲਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਪੋਰਟ ਫਾਰਵਰਡਿੰਗ ਨੂੰ ਰਿਵਰਸ SSH ਟਨਲਾਂ ਰਾਹੀਂ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਤੱਕ ਗੁਪਤ ਪਹੁੰਚ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਤੈਨਾਤ VM Alpine Linux 3.22.0 ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ AdaptixC2, Chisel, BusyBox, ਅਤੇ Rclone ਵਰਗੀਆਂ ਹਮਲਾਵਰ ਉਪਯੋਗਤਾਵਾਂ ਦੀ ਇੱਕ ਟੂਲਕਿੱਟ ਸ਼ਾਮਲ ਹੈ।

ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਅਤੇ ਸ਼ੋਸ਼ਣ ਦੇ ਰਸਤੇ

ਹਮਲਾਵਰਾਂ ਨੇ ਟਾਰਗੇਟ ਵਾਤਾਵਰਣ ਦੇ ਆਧਾਰ 'ਤੇ ਕਈ ਐਂਟਰੀ ਪੁਆਇੰਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਵਿੱਚ ਲਚਕਤਾ ਦਿਖਾਈ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਘਟਨਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ SonicWall VPN ਸਿਸਟਮਾਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਹੋਇਆ, ਜਦੋਂ ਕਿ ਹਾਲ ਹੀ ਦੇ ਹਮਲਿਆਂ ਨੇ CVE-2025-26399 ਨੁਕਸ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ।

ਬਾਅਦ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਦੇਖੇ ਗਏ ਵਾਧੂ ਘੁਸਪੈਠ ਦੇ ਤਰੀਕਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸਾਹਮਣੇ ਆਈਆਂ ਸਿਸਕੋ SSL VPN ਸੇਵਾਵਾਂ ਦਾ ਸਮਝੌਤਾ
• ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮਾਂ ਰਾਹੀਂ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ, ਜਿੱਥੇ ਹਮਲਾਵਰ ਆਈਟੀ ਕਰਮਚਾਰੀਆਂ ਦਾ ਰੂਪ ਧਾਰਨ ਕਰਦੇ ਹਨ
• ਕੁਇੱਕ ਅਸਿਸਟ ਰਾਹੀਂ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਦੀ ਡਿਲਿਵਰੀ

ਇਹ ਵਿਭਿੰਨ ਪਹੁੰਚ ਤਕਨੀਕੀ ਸ਼ੋਸ਼ਣ ਅਤੇ ਮਨੁੱਖੀ-ਨਿਸ਼ਾਨਾ ਧੋਖੇ ਦੇ ਮਿਸ਼ਰਣ ਨੂੰ ਉਜਾਗਰ ਕਰਦੇ ਹਨ।

ਸਮਝੌਤਾ ਤੋਂ ਬਾਅਦ ਦੇ ਕਾਰਜ ਅਤੇ ਡਾਟਾ ਚੋਰੀ

ਇੱਕ ਵਾਰ ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਹਮਲਾਵਰ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਕੱਢਣ ਅਤੇ ਆਪਣੀ ਪਕੜ ਵਧਾਉਣ ਲਈ ਉੱਨਤ ਪੋਸਟ-ਐਕਸਪਲੋਇਟੇਸ਼ਨ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਇਸ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ VSS (vssuirun.exe) ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸ਼ੈਡੋ ਕਾਪੀਆਂ ਬਣਾਉਣਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, ਜਿਸ ਤੋਂ ਬਾਅਦ NTDS.dit, SAM, ਅਤੇ SYSTEM ਰਜਿਸਟਰੀ ਹਾਈਵਜ਼ ਵਰਗੀਆਂ ਮਹੱਤਵਪੂਰਨ ਸਿਸਟਮ ਫਾਈਲਾਂ ਨੂੰ ਅਸਥਾਈ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਕਾਪੀ ਕਰਨ ਲਈ SMB ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।

ਬਾਅਦ ਦੇ ਪੜਾਵਾਂ ਵਿੱਚ, ADNotificationManager.exe ਵਰਗੀਆਂ ਜਾਇਜ਼ ਬਾਈਨਰੀਆਂ ਦੀ ਦੁਰਵਰਤੋਂ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਨੂੰ ਸਾਈਡਲੋਡ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਇੱਕ Havoc C2 ਕੰਪੋਨੈਂਟ (vcruntime140_1.dll)। ਫਿਰ ਡਾਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ Rclone ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਚੋਰੀ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਰਿਮੋਟ SFTP ਸਰਵਰਾਂ ਵਿੱਚ ਟ੍ਰਾਂਸਫਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਰੈਨਸਮਵੇਅਰ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਰਣਨੀਤੀ

ਪੇਆਉਟਸ ਕਿੰਗ ਰੈਨਸਮਵੇਅਰ ਸਟ੍ਰੇਨ ਮਜ਼ਬੂਤ ਤਕਨੀਕੀ ਸੂਝ-ਬੂਝ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ। ਇਹ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਵਿਆਪਕ ਗੁੰਝਲਦਾਰ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ-ਵਿਰੋਧੀ ਤਕਨੀਕਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਨਿਰਧਾਰਤ ਕੰਮਾਂ ਦੁਆਰਾ ਦ੍ਰਿੜਤਾ ਨੂੰ ਬਣਾਈ ਰੱਖਦਾ ਹੈ ਅਤੇ ਘੱਟ-ਪੱਧਰੀ ਸਿਸਟਮ ਕਾਲਾਂ ਰਾਹੀਂ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਨੂੰ ਅਯੋਗ ਕਰਦਾ ਹੈ।

ਇਸਦਾ ਇਨਕ੍ਰਿਪਸ਼ਨ ਵਿਧੀ CTR ਮੋਡ ਵਿੱਚ AES-256 ਨੂੰ RSA-4096 ਨਾਲ ਜੋੜਦੀ ਹੈ, ਗਤੀ ਅਤੇ ਪ੍ਰਭਾਵ ਨੂੰ ਅਨੁਕੂਲ ਬਣਾਉਣ ਲਈ ਵੱਡੀਆਂ ਫਾਈਲਾਂ ਲਈ ਰੁਕ-ਰੁਕ ਕੇ ਇਨਕ੍ਰਿਪਸ਼ਨ ਲਾਗੂ ਕਰਦੀ ਹੈ। ਪੀੜਤਾਂ ਨੂੰ ਫਿਰੌਤੀ ਦੇ ਨੋਟਸ ਰਾਹੀਂ ਡਾਰਕ ਵੈੱਬ ਲੀਕ ਸਾਈਟਾਂ ਵੱਲ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਡੇਟਾ ਐਕਸਪੋਜਰ ਦੇ ਖ਼ਤਰੇ ਦੁਆਰਾ ਦਬਾਅ ਵਧਦਾ ਹੈ।

ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਇਹ ਰੈਨਸਮਵੇਅਰ ਓਪਰੇਸ਼ਨ ਬਲੈਕ ਬਾਸਟਾ ਸਮੂਹ ਦੇ ਸਾਬਕਾ ਸਹਿਯੋਗੀਆਂ ਨਾਲ ਜੁੜਿਆ ਹੋ ਸਕਦਾ ਹੈ, ਜੋ ਕਿ ਸਪੈਮ ਬੰਬਾਰੀ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮਾਂ ਰਾਹੀਂ ਫਿਸ਼ਿੰਗ, ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲਸ ਦੀ ਦੁਰਵਰਤੋਂ ਵਰਗੀਆਂ ਓਵਰਲੈਪਿੰਗ ਰਣਨੀਤੀਆਂ ਦੇ ਅਧਾਰ ਤੇ ਹੈ।

ਧਿਆਨ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਮੁੱਖ ਸੰਕੇਤ

ਇਸ ਵਧ ਰਹੇ ਖ਼ਤਰੇ ਤੋਂ ਬਚਾਅ ਲਈ, ਸੰਗਠਨਾਂ ਨੂੰ ਹੇਠ ਲਿਖੇ ਚੇਤਾਵਨੀ ਸੰਕੇਤਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ:

• QEMU ਦੀ ਅਣਅਧਿਕਾਰਤ ਸਥਾਪਨਾ ਜਾਂ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
• ਉੱਚੇ ਸਿਸਟਮ ਅਧਿਕਾਰਾਂ ਨਾਲ ਚੱਲ ਰਹੇ ਸ਼ੱਕੀ ਤਹਿ ਕੀਤੇ ਕਾਰਜ
• ਅਸਧਾਰਨ SSH ਪੋਰਟ ਫਾਰਵਰਡਿੰਗ ਗਤੀਵਿਧੀ
• ਗੈਰ-ਮਿਆਰੀ ਪੋਰਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਆਊਟਬਾਊਂਡ SSH ਸੁਰੰਗਾਂ

ਇਹਨਾਂ ਸੂਚਕਾਂ ਦਾ ਜਲਦੀ ਪਤਾ ਲਗਾਉਣ ਨਾਲ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਸਮਝੌਤਾ ਅਤੇ ਡੇਟਾ ਦੇ ਨੁਕਸਾਨ ਦੇ ਜੋਖਮ ਨੂੰ ਕਾਫ਼ੀ ਹੱਦ ਤੱਕ ਘਟਾਇਆ ਜਾ ਸਕਦਾ ਹੈ।