Попуст за више лиценци
Тхреат Датабасе Рансомваре Исплате King Ransomware

Исплате King Ransomware

До Mezo. у Рансомваре
Преведи на:

Рансомвер операција Payouts King увела је веома избегавајућу технику користећи QEMU као обрнути SSH бекдор. Овај приступ омогућава нападачима да директно распореде скривене виртуелне машине (VM) на компромитованим системима, ефикасно заобилазећи традиционалне контроле безбедности крајњих тачака.

QEMU, емулатор процесора и платформа за виртуелизацију отвореног кода, омогућава оперативним системима да раде као виртуелне машине на хост уређају. Пошто већина безбедносних решења не може да испитује активности унутар ових виртуелних машина, нападачи искоришћавају ову слепу тачку да би извршавали злонамерне корисне оптерећења, складиштили штетне податке и успостављали тајне тунеле за даљински приступ путем SSH веза.

Ова тактика није потпуно нова. Слична злоупотреба QEMU-а је примећена у операцијама повезаним са групама као што су 3AM ransomware група, LoudMiner и CRON#TRAP фишинг кампања.

Унутар кампање STAC4713

Истраживачи безбедности идентификовали су две главне кампање које укључују распоређивање QEMU-а, а једна је праћена као STAC4713, први пут примећена у новембру 2025. године. Ова кампања је директно повезана са операцијом рансомвера Payouts King и приписана је групи GOLD ENCOUNTER.

GOLD ENCOUNTER је познат по циљању хипервизора и примени шифратора у VMware и ESXi окружењима. У оквиру ове кампање, нападачи успостављају упорност и прикривеност креирањем заказаног задатка под називом TPMProfiler, који покреће скривену QEMU виртуелну машину са привилегијама на нивоу SYSTEM.

Да би се избегло откривање, злонамерне датотеке виртуелног диска су маскиране као легитимне датотеке базе података и DLL датотеке. Поред тога, прослеђивање портова је конфигурисано тако да омогући тајни приступ зараженом систему путем обрнутих SSH тунела. Распоређена виртуелна машина покреће Alpine Linux 3.22.0 и укључује скуп алата за нападаче као што су AdaptixC2, Chisel, BusyBox и Rclone.

Почетни приступ и путеви експлоатације

Нападачи су показали флексибилност у добијању почетног приступа, користећи више улазних тачака у зависности од циљаног окружења. Рани инциденти су укључивали изложене SonicWall VPN системе, док су новији напади искористили грешку CVE-2025-26399.

Додатне методе упада примећене у наредним кампањама укључују:

  • Компромитовање откривених Cisco SSL VPN сервиса
  • Социјални инжењеринг путем Microsoft Teams-а, где нападачи лажно представљају ИТ особље
  • Достава злонамерних корисних садржаја путем Брзе помоћи

Ови различити приступи истичу мешавину техничке експлоатације и обмане усмерене на људе.

Пост-компромитујуће операције и крађа података

Једном када се нађу унутар мреже, нападачи користе напредне технике након експлоатације како би извукли осетљиве податке и ескалирали своје упориште. Процес обично укључује креирање копија у сенци помоћу VSS-а (vssuirun.exe), након чега следи коришћење SMB протокола за копирање критичних системских датотека као што су NTDS.dit, SAM и SYSTEM регистарске групе у привремене директоријуме.

У каснијим фазама, легитимне бинарне датотеке попут ADNotificationManager.exe се злоупотребљавају за бочно учитавање злонамерних корисних садржаја, тачније компоненте Havoc C2 (vcruntime140_1.dll). Крађа података се затим врши помоћу Rclone-а, преносећи украдене информације на удаљене SFTP сервере.

Могућности рансомвера и стратегија шифровања

Рансомвер сој Payouts King показује снажну техничку софистицираност. Укључује опсежне технике обфускације и анти-аналитике како би избегао откривање, уз одржавање истрајности кроз заказане задатке и онемогућавање безбедносних алата путем системских позива ниског нивоа.

Његов механизам шифровања комбинује AES-256 у CTR режиму са RSA-4096, примењујући повремено шифровање за веће датотеке како би се оптимизовала брзина и утицај. Жртве се усмеравају ка сајтовима за цурење података на дарк вебу путем порука са захтевом за откуп, повећавајући притисак претњом откривања података.

Докази указују на то да би ова операција рансомвера могла бити повезана са бившим члановима групе Блек Баста, на основу преклапајућих тактика као што су бомбардовање спамом, фишинг путем Мајкрософт тимса и злоупотреба алата за даљински приступ.

Кључни индикатори компромиса које треба пратити

Да би се одбраниле од ове стално растуће претње, организације треба да прате следеће знаке упозорења:

  • Неовлашћене инсталације или извршавање QEMU-а
  • Сумњиви заказани задаци који се извршавају са повећаним системским привилегијама
  • Неуобичајена активност преусмеравања SSH портова
  • Одлазни SSH тунели који користе нестандардне портове

Рано откривање ових индикатора може значајно смањити ризик од дуготрајног компромитовања и губитка података.

У тренду

Превара путем е-поште о безбедности веб апликација

Пецање, Спам
У данашњем свету претњи, имејл остаје једна од најчешћих улазних тачака за сајбер нападе. Корисници морају бити опрезни када се суочавају са неочекиваним порукама, посебно онима које захтевају хитну акцију. Многи од ових имејлова су пажљиво осмишљене преваре и важно је разумети да нису повезани ни са једном легитимном компанијом, организацијом или ентитетом, упркос томе колико убедљиво могу...

Најгледанији

Учитавање...