Выплаты King Ransomware
В рамках операции по распространению программы-вымогателя Payouts King используется крайне эффективная методика обхода защиты, основанная на применении QEMU в качестве бэкдора обратного SSH. Такой подход позволяет злоумышленникам развертывать скрытые виртуальные машины (ВМ) непосредственно на скомпрометированных системах, эффективно обходя традиционные средства защиты конечных точек.
QEMU, эмулятор ЦП с открытым исходным кодом и платформа виртуализации, позволяет запускать операционные системы в качестве виртуальных машин на хост-устройстве. Поскольку большинство решений в области безопасности не могут отслеживать активность внутри этих виртуальных машин, злоумышленники используют это «слепое пятно» для выполнения вредоносных программ, хранения опасных данных и установления скрытых туннелей удаленного доступа через SSH-соединения.
Эта тактика не совсем нова. Аналогичные злоупотребления QEMU наблюдались в операциях, связанных с такими группами, как группа вымогателей 3AM, LoudMiner и фишинговая кампания CRON#TRAP.
Оглавление
Внутри кампании STAC4713
Исследователи в области безопасности выявили две крупные кампании, связанные с развертыванием QEMU, одна из которых отслеживается как STAC4713 и впервые была обнаружена в ноябре 2025 года. Эта кампания напрямую связана с операцией вымогательства Payouts King и приписывается группе GOLD ENCOUNTER.
GOLD ENCOUNTER известен тем, что атакует гипервизоры и развертывает шифровальные устройства в средах VMware и ESXi. В рамках этой кампании злоумышленники обеспечивают себе постоянное присутствие и скрытность, создавая запланированную задачу с именем TPMProfiler, которая запускает скрытую виртуальную машину QEMU с привилегиями уровня SYSTEM.
Чтобы избежать обнаружения, вредоносные файлы виртуальных дисков маскируются под легитимные файлы баз данных и DLL-файлы. Кроме того, настроена переадресация портов для обеспечения скрытого доступа к зараженной системе через обратные SSH-туннели. Развернутая виртуальная машина работает под управлением Alpine Linux 3.22.0 и включает в себя набор утилит для злоумышленников, таких как AdaptixC2, Chisel, BusyBox и Rclone.
Пути первоначального доступа и эксплуатации
Злоумышленники продемонстрировали гибкость в получении первоначального доступа, используя несколько точек входа в зависимости от целевой среды. Первые инциденты были связаны с незащищенными VPN-системами SonicWall, а более поздние атаки использовали уязвимость CVE-2025-26399.
В ходе последующих кампаний были выявлены дополнительные методы проникновения, в том числе:
- Компрометация открытых служб Cisco SSL VPN
- Социальная инженерия с использованием Microsoft Teams, при которой злоумышленники выдают себя за сотрудников ИТ-отдела.
- Доставка вредоносных программ через Quick Assist
Эти разнообразные подходы демонстрируют сочетание технической эксплуатации и обмана, направленного на человека.
Операции после взлома и кража данных
Оказавшись внутри сети, злоумышленники используют сложные методы постэксплуатации для извлечения конфиденциальных данных и повышения уровня своего влияния. Этот процесс обычно включает создание теневых копий с помощью VSS (vssuirun.exe), а затем использование протоколов SMB для копирования критически важных системных файлов, таких как NTDS.dit, SAM и разделы реестра SYSTEM, во временные каталоги.
На более поздних этапах легитимные бинарные файлы, такие как ADNotificationManager.exe, используются для установки вредоносных программ, в частности, компонента управления и контроля Havoc (vcruntime140_1.dll). Затем осуществляется эксфильтрация данных с помощью Rclone, передавая украденную информацию на удаленные SFTP-серверы.
Возможности программ-вымогателей и стратегия шифрования
Вирус-вымогатель Payouts King демонстрирует высокую техническую изощренность. Он использует обширные методы обфускации и защиты от анализа, чтобы избежать обнаружения, сохраняя при этом свою активность за счет выполнения запланированных задач и отключения средств безопасности посредством низкоуровневых системных вызовов.
Его механизм шифрования сочетает AES-256 в режиме CTR с RSA-4096, применяя прерывистое шифрование для больших файлов с целью оптимизации скорости и эффективности. Жертвы перенаправляются на сайты с утечками в даркнете через записки с требованием выкупа, что усиливает давление за счет угрозы раскрытия данных.
Имеющиеся данные указывают на то, что эта операция по распространению программ-вымогателей может быть связана с бывшими членами группировки Black Basta, судя по совпадению тактики, такой как рассылка спама, фишинг через Microsoft Teams и злоупотребление инструментами удаленного доступа.
Ключевые показатели компромисса, за которым следует следить
Для защиты от этой постоянно меняющейся угрозы организациям следует отслеживать следующие тревожные признаки:
- Несанкционированная установка или запуск QEMU
- Подозрительные запланированные задачи, выполняющиеся с повышенными системными привилегиями.
- Необычная активность переадресации портов SSH.
- Исходящие SSH-туннели с использованием нестандартных портов
Своевременное выявление этих признаков может значительно снизить риск длительной компрометации и потери данных.
