பேஅவுட்ஸ் கிங் ரேன்சம்வேர்

பேஅவுட்ஸ் கிங் ரேன்சம்வேர் தாக்குதல், QEMU-வை ஒரு ரிவர்ஸ் SSH பின்கதவாகப் பயன்படுத்தி, மிகவும் தந்திரமான ஒரு நுட்பத்தை அறிமுகப்படுத்தியுள்ளது. இந்த அணுகுமுறை, தாக்குபவர்கள் பாரம்பரிய எண்ட்பாயிண்ட் பாதுகாப்பு கட்டுப்பாடுகளைத் திறம்படத் தவிர்த்து, பாதிக்கப்பட்ட கணினிகளில் நேரடியாக மறைக்கப்பட்ட மெய்நிகர் இயந்திரங்களை (VMs) நிறுவ அனுமதிக்கிறது.

QEMU என்பது ஒரு திறந்த மூல CPU எமுலேட்டர் மற்றும் மெய்நிகராக்கத் தளமாகும். இது இயக்க முறைமைகளை ஒரு ஹோஸ்ட் சாதனத்தில் மெய்நிகர் இயந்திரங்களாக (virtual machines) இயக்க உதவுகிறது. பெரும்பாலான பாதுகாப்புத் தீர்வுகளால் இந்த மெய்நிகர் இயந்திரங்களுக்குள் நடக்கும் செயல்பாடுகளை ஆய்வு செய்ய முடியாததால், தாக்குபவர்கள் இந்த மறைக்கப்பட்ட பகுதியைத் தங்களுக்குச் சாதகமாகப் பயன்படுத்திக்கொண்டு, தீங்கிழைக்கும் நிரல்களை (passloads) இயக்குகின்றனர், தீங்கு விளைவிக்கும் தரவுகளைச் சேமிக்கின்றனர், மேலும் SSH இணைப்புகள் வழியாக மறைமுகமான தொலைநிலை அணுகல் சுரங்கங்களை (remote access tunnels) உருவாக்குகின்றனர்.

இந்த உத்தி முற்றிலும் புதியதல்ல. 3AM ransomware குழு, LoudMiner மற்றும் CRON#TRAP phishing பிரச்சாரம் போன்ற குழுக்களுடன் தொடர்புடைய செயல்பாடுகளில் QEMU-வின் இதேபோன்ற தவறான பயன்பாடு காணப்பட்டுள்ளது.

STAC4713 பிரச்சாரத்தின் உள்ளே

பாதுகாப்பு ஆராய்ச்சியாளர்கள், QEMU செயல்படுத்தலை உள்ளடக்கிய இரண்டு முக்கிய தாக்குதல் நடவடிக்கைகளை அடையாளம் கண்டுள்ளனர். அவற்றுள் ஒன்று, நவம்பர் 2025-ல் முதன்முதலில் காணப்பட்ட STAC4713 எனப் பின்தொடரப்படுகிறது. இந்தத் தாக்குதல் நடவடிக்கை, Payouts King ransomware செயல்பாட்டுடன் நேரடியாக இணைக்கப்பட்டு, GOLD ENCOUNTER குழுவின் மீது சுமத்தப்பட்டுள்ளது.

கோல்ட் என்கவுண்டர், VMware மற்றும் ESXi சூழல்களில் ஹைப்பர்வைசர்களைக் குறிவைத்து என்க்ரிப்டர்களைப் பயன்படுத்துவதில் பெயர் பெற்றது. இந்தத் தாக்குதலில், தாக்குபவர்கள் TPMProfiler என்ற பெயரில் ஒரு திட்டமிடப்பட்ட பணியை உருவாக்கி, அதன் மூலம் சிஸ்டம்-நிலை சிறப்புரிமைகளுடன் ஒரு மறைக்கப்பட்ட QEMU மெய்நிகர் இயந்திரத்தைத் துவக்கி, நிலைத்தன்மையையும் மறைமுகத் தன்மையையும் ஏற்படுத்துகின்றனர்.

கண்டறியப்படுவதைத் தவிர்ப்பதற்காக, தீங்கிழைக்கும் மெய்நிகர் வட்டு கோப்புகள், முறையான தரவுத்தளம் மற்றும் DLL கோப்புகளாக மாறுவேடமிடப்பட்டுள்ளன. கூடுதலாக, ரிவர்ஸ் SSH டனல்கள் வழியாக பாதிக்கப்பட்ட கணினிக்கு மறைமுக அணுகலைச் செயல்படுத்த போர்ட் ஃபார்வர்டிங் கட்டமைக்கப்பட்டுள்ளது. நிறுவப்பட்ட மெய்நிகர் இயந்திரம் ஆல்பைன் லினக்ஸ் 3.22.0-இல் இயங்குகிறது மற்றும் அடாப்டிக்ஸ்C2, சிசெல், பிஸிபாக்ஸ் மற்றும் ஆர்-க்ளோன் போன்ற தாக்குதல் பயன்பாடுகளின் கருவித்தொகுப்பையும் கொண்டுள்ளது.

ஆரம்ப அணுகல் மற்றும் சுரண்டல் பாதைகள்

தாக்குதல் நடத்துபவர்கள், இலக்குச் சூழலைப் பொறுத்து பல நுழைவுப் புள்ளிகளைப் பயன்படுத்தி, ஆரம்பக்கட்ட அணுகலைப் பெறுவதில் நெகிழ்வுத்தன்மையை வெளிப்படுத்தியுள்ளனர். ஆரம்பகால சம்பவங்களில், பாதுகாப்பு வெளிப்படுத்தப்பட்ட சோனிக்வால் VPN அமைப்புகள் சம்பந்தப்பட்டிருந்தன, அதேசமயம் மிகச் சமீபத்திய தாக்குதல்கள் CVE-2025-26399 குறைபாட்டைப் பயன்படுத்திக்கொண்டன.

அடுத்தடுத்த நடவடிக்கைகளில் காணப்பட்ட கூடுதல் ஊடுருவல் முறைகள் பின்வருமாறு:

• வெளிப்படுத்தப்பட்ட சிஸ்கோ SSL VPN சேவைகளின் சமரசம்
• மைக்ரோசாஃப்ட் டீம்ஸ் வழியாக செய்யப்படும் சமூகப் பொறியியல், இதில் தாக்குதல் நடத்துபவர்கள் தகவல் தொழில்நுட்பப் பணியாளர்களாக ஆள்மாறாட்டம் செய்கிறார்கள்.
• குயிக் அசிஸ்ட் மூலம் தீங்கிழைக்கும் பேலோடுகளை வழங்குதல்

இந்த மாறுபட்ட அணுகுமுறைகள், தொழில்நுட்பச் சுரண்டல் மற்றும் மனிதர்களை இலக்காகக் கொண்ட ஏமாற்று ஆகியவற்றின் கலவையை எடுத்துக்காட்டுகின்றன.

பாதுகாப்பு மீறலுக்குப் பிந்தைய செயல்பாடுகள் மற்றும் தரவு திருட்டு

ஒரு நெட்வொர்க்கிற்குள் நுழைந்தவுடன், தாக்குதல் நடத்துபவர்கள் முக்கியமான தரவுகளைப் பிரித்தெடுக்கவும், தங்கள் ஆதிக்கத்தை வலுப்படுத்தவும் மேம்பட்ட சுரண்டலுக்குப் பிந்தைய நுட்பங்களைப் பயன்படுத்துகின்றனர். இந்தச் செயல்முறையானது பொதுவாக VSS (vssuirun.exe) ஐப் பயன்படுத்தி நிழல் நகல்களை உருவாக்குவதையும், அதனைத் தொடர்ந்து SMB நெறிமுறைகளைப் பயன்படுத்தி NTDS.dit, SAM, மற்றும் SYSTEM ரெஜிஸ்ட்ரி ஹைவ்கள் போன்ற முக்கியமான கணினி கோப்புகளைத் தற்காலிக கோப்பகங்களுக்கு நகலெடுப்பதையும் உள்ளடக்கியது.

பிற்கட்டங்களில், ADNotificationManager.exe போன்ற முறையான பைனரிகள் தவறாகப் பயன்படுத்தப்பட்டு, தீங்கிழைக்கும் பேலோடுகள், குறிப்பாக ஒரு Havoc C2 கூறு (vcruntime140_1.dll), சைட்லோட் செய்யப்படுகின்றன. பின்னர், Rclone-ஐப் பயன்படுத்தி தரவுக் கசிவு நடத்தப்பட்டு, திருடப்பட்ட தகவல்கள் தொலைநிலை SFTP சேவையகங்களுக்கு மாற்றப்படுகின்றன.

ரான்சம்வேர் திறன்கள் மற்றும் குறியாக்க உத்தி

பேஅவுட்ஸ் கிங் ரேன்சம்வேர் வகை, வலுவான தொழில்நுட்ப நுட்பத்தைக் கொண்டுள்ளது. இது, கண்டறிதலில் இருந்து தப்பிப்பதற்காக விரிவான மறைத்தல் மற்றும் பகுப்பாய்வு-எதிர்ப்பு நுட்பங்களைப் பயன்படுத்துகிறது; அதே சமயம், திட்டமிடப்பட்ட பணிகள் மூலம் நிலைத்தன்மையைப் பேணுவதுடன், கீழ்நிலை கணினி அழைப்புகள் வழியாகப் பாதுகாப்புக் கருவிகளையும் செயலிழக்கச் செய்கிறது.

இதன் குறியாக்கப் பொறிமுறையானது, AES-256-ஐ CTR பயன்முறையிலும் RSA-4096-உடனும் இணைத்து, பெரிய கோப்புகளுக்கு இடைவிட்டு குறியாக்கத்தைப் பயன்படுத்துவதன் மூலம் வேகத்தையும் தாக்கத்தையும் மேம்படுத்துகிறது. மிரட்டல் குறிப்புகள் மூலம் பாதிக்கப்பட்டவர்கள் டார்க் வெப் கசிவுத் தளங்களுக்கு வழிநடத்தப்படுகிறார்கள், இது தரவுகள் அம்பலமாகிவிடும் என்ற அச்சுறுத்தலின் மூலம் அழுத்தத்தை அதிகரிக்கிறது.

ஸ்பேம் குண்டுவீச்சு, மைக்ரோசாஃப்ட் டீம்ஸ் வழியாக ஃபிஷிங் செய்தல் மற்றும் தொலைநிலை அணுகல் கருவிகளைத் தவறாகப் பயன்படுத்துதல் போன்ற ஒன்றுடன் ஒன்று பொருந்தும் தந்திரங்களின் அடிப்படையில், இந்த ரான்சம்வேர் செயல்பாடு பிளாக் பாஸ்டா குழுவின் முன்னாள் கூட்டாளிகளுடன் தொடர்புடையதாக இருக்கலாம் என்று ஆதாரங்கள் தெரிவிக்கின்றன.

சமரசத்தின் முக்கிய குறிகாட்டிகளைக் கவனிக்கவும்

வளர்ந்து வரும் இந்த அச்சுறுத்தலில் இருந்து தற்காத்துக் கொள்ள, நிறுவனங்கள் பின்வரும் எச்சரிக்கை அறிகுறிகளைக் கண்காணிக்க வேண்டும்:

• QEMU-வின் அங்கீகரிக்கப்படாத நிறுவல்கள் அல்லது செயல்படுத்தல்
• உயர்த்தப்பட்ட SYSTEM சிறப்புரிமைகளுடன் இயங்கும் சந்தேகத்திற்கிடமான திட்டமிடப்பட்ட பணிகள்
• அசாதாரணமான SSH போர்ட் ஃபார்வர்டிங் செயல்பாடு
• தரமற்ற போர்ட்களைப் பயன்படுத்தும் வெளிச்செல்லும் SSH டனல்கள்

இந்தக் குறிகாட்டிகளை முன்கூட்டியே கண்டறிவது, நீடித்த பாதுகாப்பு மீறல் மற்றும் தரவு இழப்பு ஏற்படும் அபாயத்தைக் கணிசமாகக் குறைக்கும்.