పేఅవుట్స్ కింగ్ రాన్సమ్‌వేర్

పేఅవుట్స్ కింగ్ ర్యాన్సమ్‌వేర్ ఆపరేషన్, QEMUను రివర్స్ SSH బ్యాక్‌డోర్‌గా ఉపయోగించుకోవడం ద్వారా అత్యంత తప్పించుకునే పద్ధతిని ప్రవేశపెట్టింది. ఈ విధానం దాడి చేసేవారికి సంప్రదాయ ఎండ్‌పాయింట్ భద్రతా నియంత్రణలను సమర్థవంతంగా తప్పించుకుంటూ, రాజీపడిన సిస్టమ్‌లపై నేరుగా రహస్య వర్చువల్ మెషీన్‌లను (VMలను) మోహరించడానికి అనుమతిస్తుంది.

QEMU, ఒక ఓపెన్-సోర్స్ CPU ఎమ్యులేటర్ మరియు వర్చువలైజేషన్ ప్లాట్‌ఫారమ్, ఆపరేటింగ్ సిస్టమ్‌లను ఒక హోస్ట్ పరికరంలో వర్చువల్ మెషీన్‌లుగా నడపడానికి వీలు కల్పిస్తుంది. చాలా భద్రతా పరిష్కారాలు ఈ VMల లోపల జరిగే కార్యకలాపాలను తనిఖీ చేయలేవు కాబట్టి, దాడి చేసేవారు ఈ బలహీనతను ఉపయోగించుకుని హానికరమైన పేలోడ్‌లను అమలు చేయడం, హానికరమైన డేటాను నిల్వ చేయడం, మరియు SSH కనెక్షన్‌ల ద్వారా రహస్య రిమోట్ యాక్సెస్ టన్నెల్‌లను ఏర్పాటు చేయడం వంటివి చేస్తారు.

ఈ ఎత్తుగడ పూర్తిగా కొత్తది కాదు. 3AM రాన్సమ్‌వేర్ గ్రూప్, లౌడ్‌మైనర్ మరియు CRON#TRAP ఫిషింగ్ క్యాంపెయిన్ వంటి గ్రూపులతో ముడిపడి ఉన్న ఆపరేషన్లలో QEMU యొక్క ఇలాంటి దుర్వినియోగం గమనించబడింది.

STAC4713 ప్రచారం లోపల

భద్రతా పరిశోధకులు QEMU విస్తరణకు సంబంధించిన రెండు ప్రధాన దాడులను గుర్తించారు, వాటిలో ఒకటి STAC4713గా గుర్తించబడింది, దీనిని మొదట నవంబర్ 2025లో గమనించారు. ఈ దాడికి పేఅవుట్స్ కింగ్ ర్యాన్సమ్‌వేర్ ఆపరేషన్‌తో ప్రత్యక్ష సంబంధం ఉందని, దీనికి గోల్డ్ ఎన్‌కౌంటర్ గ్రూప్‌ను కారణంగా పేర్కొన్నారు.

గోల్డ్ ఎన్‌కౌంటర్ అనేది VMware మరియు ESXi పరిసరాలలో హైపర్‌వైజర్‌లను లక్ష్యంగా చేసుకోవడం మరియు ఎన్‌క్రిప్టర్‌లను మోహరించడం కోసం ప్రసిద్ధి చెందింది. ఈ క్యాంపెయిన్‌లో, దాడి చేసేవారు TPMProfiler అనే షెడ్యూల్డ్ టాస్క్‌ను సృష్టించడం ద్వారా నిలకడను మరియు రహస్యతను నెలకొల్పుతారు, ఇది SYSTEM-స్థాయి అధికారాలతో దాగి ఉన్న QEMU వర్చువల్ మెషీన్‌ను ప్రారంభిస్తుంది.

పట్టుబడకుండా ఉండేందుకు, హానికరమైన వర్చువల్ డిస్క్ ఫైల్‌లను చట్టబద్ధమైన డేటాబేస్ మరియు DLL ఫైల్‌లుగా మారువేషంలో ఉంచుతారు. అదనంగా, రివర్స్ SSH టన్నెల్స్ ద్వారా సోకిన సిస్టమ్‌లోకి రహస్యంగా ప్రవేశించడానికి వీలుగా పోర్ట్ ఫార్వార్డింగ్ కాన్ఫిగర్ చేయబడింది. డిప్లాయ్ చేయబడిన VM, ఆల్పైన్ లైనక్స్ 3.22.0ను నడుపుతుంది మరియు అడాప్టిక్స్C2, చిసెల్, బిజీబాక్స్, మరియు ఆర్‌క్లోన్ వంటి దాడి చేసేవారి యుటిలిటీల టూల్‌కిట్‌ను కలిగి ఉంటుంది.

ప్రారంభ యాక్సెస్ మరియు దోపిడీ మార్గాలు

దాడి చేసేవారు లక్ష్య వాతావరణాన్ని బట్టి బహుళ ప్రవేశ మార్గాలను ఉపయోగించి, ప్రాథమిక ప్రాప్యతను పొందడంలో తమ సౌలభ్యాన్ని ప్రదర్శించారు. తొలి సంఘటనలలో బహిర్గతమైన సోనిక్‌వాల్ VPN వ్యవస్థలు ఉండగా, ఇటీవలి దాడులు CVE-2025-26399 లోపాన్ని ఉపయోగించుకున్నాయి.

తదుపరి దాడులలో గమనించిన అదనపు చొరబాటు పద్ధతులలో ఇవి ఉన్నాయి:

• బహిర్గతమైన సిస్కో SSL VPN సేవల రాజీ
• మైక్రోసాఫ్ట్ టీమ్స్ ద్వారా జరిగే సోషల్ ఇంజనీరింగ్, దీనిలో దాడి చేసేవారు ఐటీ సిబ్బందిగా నటిస్తారు.
• క్విక్ అసిస్ట్ ద్వారా హానికరమైన పేలోడ్‌లను పంపిణీ చేయడం

ఈ విభిన్న విధానాలు సాంకేతిక దోపిడీ మరియు మానవ-లక్షిత మోసం యొక్క మిశ్రమాన్ని స్పష్టం చేస్తాయి.

రాజీ తర్వాత కార్యకలాపాలు మరియు డేటా దొంగతనం

ఒకసారి నెట్‌వర్క్‌లోకి ప్రవేశించిన తర్వాత, దాడి చేసేవారు సున్నితమైన డేటాను సంగ్రహించడానికి మరియు తమ పట్టును మరింత బలపరుచుకోవడానికి అధునాతన పోస్ట్-ఎక్స్‌ప్లాయిటేషన్ పద్ధతులను ఉపయోగిస్తారు. ఈ ప్రక్రియలో సాధారణంగా VSS (vssuirun.exe) ఉపయోగించి షాడో కాపీలను సృష్టించడం, ఆ తర్వాత NTDS.dit, SAM, మరియు SYSTEM రిజిస్ట్రీ హైవ్‌ల వంటి కీలకమైన సిస్టమ్ ఫైల్‌లను తాత్కాలిక డైరెక్టరీలలోకి కాపీ చేయడానికి SMB ప్రోటోకాల్‌లను ఉపయోగించుకోవడం వంటివి ఉంటాయి.

తర్వాతి దశలలో, ADNotificationManager.exe వంటి చట్టబద్ధమైన బైనరీలను దుర్వినియోగం చేసి, హానికరమైన పేలోడ్‌లను, ప్రత్యేకంగా Havoc C2 కాంపోనెంట్ (vcruntime140_1.dll)ను సైడ్‌లోడ్ చేస్తారు. ఆ తర్వాత, Rclone ఉపయోగించి డేటా ఎక్స్‌ఫిల్ట్రేషన్ నిర్వహించి, దొంగిలించిన సమాచారాన్ని రిమోట్ SFTP సర్వర్‌లకు బదిలీ చేస్తారు.

రాన్సమ్‌వేర్ సామర్థ్యాలు మరియు ఎన్‌క్రిప్షన్ వ్యూహం

పేఅవుట్స్ కింగ్ ర్యాన్సమ్‌వేర్ రకం అత్యంత అధునాతన సాంకేతిక పరిజ్ఞానాన్ని ప్రదర్శిస్తుంది. ఇది గుర్తింపును తప్పించుకోవడానికి విస్తృతమైన అస్పష్టం చేసే మరియు విశ్లేషణ-వ్యతిరేక పద్ధతులను ఉపయోగిస్తుంది, అదే సమయంలో షెడ్యూల్ చేయబడిన పనుల ద్వారా తన ఉనికిని కొనసాగిస్తూ, తక్కువ-స్థాయి సిస్టమ్ కాల్స్ ద్వారా భద్రతా సాధనాలను నిలిపివేస్తుంది.

దీని ఎన్‌క్రిప్షన్ విధానం, వేగాన్ని మరియు ప్రభావాన్ని ఆప్టిమైజ్ చేయడానికి పెద్ద ఫైళ్ల కోసం అంతరాయ ఎన్‌క్రిప్షన్‌ను వర్తింపజేస్తూ, CTR మోడ్‌లో AES-256ను RSA-4096తో మిళితం చేస్తుంది. బాధితులను రాన్సమ్ నోట్ల ద్వారా డార్క్ వెబ్ లీక్ సైట్‌లకు మళ్లిస్తారు, తద్వారా డేటా బహిర్గతం అవుతుందనే బెదిరింపు ద్వారా ఒత్తిడిని పెంచుతారు.

స్పామ్ బాంబింగ్, మైక్రోసాఫ్ట్ టీమ్స్ ద్వారా ఫిషింగ్, మరియు రిమోట్ యాక్సెస్ సాధనాల దుర్వినియోగం వంటి ఒకే రకమైన వ్యూహాల ఆధారంగా, ఈ రాన్సమ్‌వేర్ ఆపరేషన్‌కు బ్లాక్ బాస్టా గ్రూప్ మాజీ అనుబంధ సంస్థలతో సంబంధం ఉండవచ్చని ఆధారాలు సూచిస్తున్నాయి.

గమనించవలసిన రాజీ యొక్క కీలక సూచికలు

ఈ పరిణామం చెందుతున్న ముప్పు నుండి రక్షించుకోవడానికి, సంస్థలు ఈ క్రింది హెచ్చరిక సంకేతాలను పర్యవేక్షించాలి:

• QEMU యొక్క అనధికారిక సంస్థాపనలు లేదా అమలు
• ఉన్నతమైన SYSTEM అధికారాలతో నడుస్తున్న అనుమానాస్పద షెడ్యూల్డ్ టాస్క్‌లు
• అసాధారణమైన SSH పోర్ట్ ఫార్వార్డింగ్ కార్యకలాపం
• ప్రామాణికం కాని పోర్ట్‌లను ఉపయోగించి అవుట్‌బౌండ్ SSH టన్నెల్స్

ఈ సూచికలను ముందుగానే గుర్తించడం వల్ల దీర్ఘకాలిక రాజీ మరియు డేటా నష్టం ప్రమాదాన్ని గణనీయంగా తగ్గించవచ్చు.