ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม แรนซัมแวร์ การจ่ายเงินให้กับ King Ransomware

การจ่ายเงินให้กับ King Ransomware

โดย Mezo ใน แรนซัมแวร์
แปลเป็น:

ปฏิบัติการโจมตีด้วยแรนซัมแวร์ Payouts King ได้นำเทคนิคการหลบเลี่ยงขั้นสูงมาใช้ โดยใช้ QEMU เป็นแบ็กดอร์ SSH แบบย้อนกลับ วิธีนี้ช่วยให้ผู้โจมตีสามารถติดตั้งเครื่องเสมือน (VM) ที่ซ่อนอยู่บนระบบที่ถูกบุกรุกได้โดยตรง ซึ่งเป็นการหลีกเลี่ยงการควบคุมความปลอดภัยของปลายทางแบบดั้งเดิมได้อย่างมีประสิทธิภาพ

QEMU เป็นแพลตฟอร์มจำลองซีพียูและระบบเสมือนแบบโอเพนซอร์ส ที่ช่วยให้ระบบปฏิบัติการทำงานเป็นเครื่องเสมือนบนอุปกรณ์โฮสต์ได้ เนื่องจากโซลูชันด้านความปลอดภัยส่วนใหญ่ไม่สามารถตรวจสอบกิจกรรมภายในเครื่องเสมือนเหล่านี้ได้ ผู้โจมตีจึงใช้ช่องโหว่นี้ในการเรียกใช้เพย์โหลดที่เป็นอันตราย จัดเก็บข้อมูลที่เป็นอันตราย และสร้างอุโมงค์การเข้าถึงระยะไกลแบบลับๆ ผ่านการเชื่อมต่อ SSH

กลยุทธ์นี้ไม่ใช่เรื่องใหม่เสียทีเดียว การใช้งาน QEMU ในทางที่ผิดในลักษณะเดียวกันนี้เคยพบเห็นได้ในปฏิบัติการที่เชื่อมโยงกับกลุ่มต่างๆ เช่น กลุ่มแรนซัมแวร์ 3AM, LoudMiner และแคมเปญฟิชชิ่ง CRON#TRAP

ภายในแคมเปญ STAC4713

นักวิจัยด้านความปลอดภัยได้ระบุแคมเปญสำคัญสองแคมเปญที่เกี่ยวข้องกับการใช้งาน QEMU โดยแคมเปญหนึ่งถูกติดตามในชื่อ STAC4713 ซึ่งพบครั้งแรกในเดือนพฤศจิกายน 2025 แคมเปญนี้เชื่อมโยงโดยตรงกับการปฏิบัติการแรนซัมแวร์ Payouts King และระบุว่าเป็นฝีมือของกลุ่ม GOLD ENCOUNTER

GOLD ENCOUNTER เป็นที่รู้จักในด้านการโจมตีไฮเปอร์ไวเซอร์และติดตั้งโปรแกรมเข้ารหัสในสภาพแวดล้อม VMware และ ESXi ในแคมเปญนี้ ผู้โจมตีสร้างความคงอยู่และความลับโดยการสร้างงานที่กำหนดเวลาไว้ชื่อ TPMProfiler ซึ่งจะเรียกใช้เครื่องเสมือน QEMU ที่ซ่อนอยู่ด้วยสิทธิ์ระดับ SYSTEM

เพื่อหลีกเลี่ยงการตรวจจับ ไฟล์ดิสก์เสมือนที่เป็นอันตรายจะถูกปลอมแปลงให้ดูเหมือนไฟล์ฐานข้อมูลและไฟล์ DLL ที่ถูกต้อง นอกจากนี้ ยังมีการกำหนดค่าการส่งต่อพอร์ตเพื่อเปิดใช้งานการเข้าถึงระบบที่ติดไวรัสอย่างลับๆ ผ่านอุโมงค์ SSH ย้อนกลับ เครื่องเสมือนที่ใช้งานนั้นรันระบบปฏิบัติการ Alpine Linux 3.22.0 และมีชุดเครื่องมือสำหรับผู้โจมตี เช่น AdaptixC2, Chisel, BusyBox และ Rclone

เส้นทางการเข้าถึงและการใช้ประโยชน์เบื้องต้น

ผู้โจมตีแสดงให้เห็นถึงความยืดหยุ่นในการเข้าถึงระบบในขั้นต้น โดยใช้จุดเข้าหลายจุดขึ้นอยู่กับสภาพแวดล้อมเป้าหมาย เหตุการณ์ในช่วงแรกเกี่ยวข้องกับระบบ VPN ของ SonicWall ที่มีความเสี่ยง ในขณะที่การโจมตีล่าสุดใช้ประโยชน์จากช่องโหว่ CVE-2025-26399

วิธีการบุกรุกเพิ่มเติมที่พบในปฏิบัติการครั้งต่อๆ มา ได้แก่:

  • การรั่วไหลของบริการ Cisco SSL VPN ที่เปิดเผยสู่ภายนอก
  • การโจมตีทางสังคมผ่าน Microsoft Teams โดยผู้โจมตีแอบอ้างเป็นเจ้าหน้าที่ฝ่ายไอที
  • การส่งมัลแวร์ผ่าน Quick Assist

วิธีการที่หลากหลายเหล่านี้แสดงให้เห็นถึงการผสมผสานระหว่างการแสวงหาประโยชน์ทางเทคนิคและการหลอกลวงที่มุ่งเป้าไปที่มนุษย์

ปฏิบัติการหลังการโจมตีและการขโมยข้อมูล

เมื่อแทรกซึมเข้าไปในเครือข่ายได้แล้ว ผู้โจมตีจะใช้เทคนิคหลังการเจาะระบบขั้นสูงเพื่อดึงข้อมูลสำคัญและขยายการควบคุมของตน กระบวนการนี้โดยทั่วไปเกี่ยวข้องกับการสร้างสำเนาเงาโดยใช้ VSS (vssuirun.exe) ตามด้วยการใช้โปรโตคอล SMB เพื่อคัดลอกไฟล์ระบบที่สำคัญ เช่น NTDS.dit, SAM และรีจิสทรี SYSTEM ไปยังไดเร็กทอรีชั่วคราว

ในขั้นตอนต่อมา ไฟล์ไบนารีที่ถูกต้องตามกฎหมาย เช่น ADNotificationManager.exe จะถูกนำไปใช้ในทางที่ผิดเพื่อติดตั้งมัลแวร์ โดยเฉพาะอย่างยิ่งส่วนประกอบ Havoc C2 (vcruntime140_1.dll) จากนั้นจะทำการขโมยข้อมูลโดยใช้ Rclone เพื่อถ่ายโอนข้อมูลที่ถูกขโมยไปยังเซิร์ฟเวอร์ SFTP ระยะไกล

ความสามารถของแรนซัมแวร์และกลยุทธ์การเข้ารหัส

มัลแวร์เรียกค่าไถ่ Payouts King แสดงให้เห็นถึงความซับซ้อนทางเทคนิคอย่างมาก มันใช้เทคนิคการปกปิดและการวิเคราะห์ที่กว้างขวางเพื่อหลีกเลี่ยงการตรวจจับ ในขณะเดียวกันก็รักษาการทำงานอย่างต่อเนื่องผ่านงานที่กำหนดไว้ล่วงหน้าและการปิดใช้งานเครื่องมือรักษาความปลอดภัยผ่านการเรียกใช้ระบบระดับต่ำ

กลไกการเข้ารหัสของมันผสมผสาน AES-256 ในโหมด CTR กับ RSA-4096 โดยใช้การเข้ารหัสแบบไม่ต่อเนื่องสำหรับไฟล์ขนาดใหญ่เพื่อเพิ่มความเร็วและประสิทธิภาพ เหยื่อจะถูกชักนำไปยังเว็บไซต์รั่วไหลข้อมูลในดาร์กเว็บผ่านข้อความเรียกค่าไถ่ ซึ่งเป็นการเพิ่มแรงกดดันผ่านการข่มขู่ว่าจะเปิดเผยข้อมูล

หลักฐานบ่งชี้ว่าการโจมตีด้วยแรนซัมแวร์ครั้งนี้อาจเชื่อมโยงกับอดีตสมาชิกของกลุ่มแบล็กบาสตา โดยพิจารณาจากกลยุทธ์ที่คล้ายคลึงกัน เช่น การโจมตีด้วยสแปม การหลอกลวงผ่าน Microsoft Teams และการใช้เครื่องมือเข้าถึงระยะไกลในทางที่ผิด

ตัวชี้วัดสำคัญของการประนีประนอมที่ต้องจับตาดู

เพื่อป้องกันภัยคุกคามที่เปลี่ยนแปลงไปนี้ องค์กรต่างๆ ควรเฝ้าระวังสัญญาณเตือนต่อไปนี้:

  • การติดตั้งหรือใช้งาน QEMU โดยไม่ได้รับอนุญาต
  • พบงานที่กำหนดไว้ซึ่งน่าสงสัยกำลังทำงานโดยใช้สิทธิ์ระดับสูงของระบบ
  • กิจกรรมการส่งต่อพอร์ต SSH ที่ผิดปกติ
  • การสร้างอุโมงค์ SSH ขาออกโดยใช้พอร์ตที่ไม่ใช่พอร์ตมาตรฐาน

การตรวจพบตัวบ่งชี้เหล่านี้ตั้งแต่เนิ่นๆ สามารถลดความเสี่ยงของการถูกโจมตีและสูญหายของข้อมูลในระยะยาวได้อย่างมาก

มาแรง

มัลแวร์ SnappyClient

มัลแวร์, เครื่องมือการบริหารจัดการระยะไกล
SnappyClient เป็นมัลแวร์ขั้นสูงที่เขียนด้วยภาษา C++ และเผยแพร่ผ่านตัวโหลดที่เรียกว่า HijackLoader มันทำงานเป็นโทรจันสำหรับการเข้าถึงระยะไกล (RAT)...

Forestrievic.com

เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
การท่องเว็บอย่างปลอดภัยต้องอาศัยความระมัดระวังอย่างต่อเนื่อง เว็บไซต์ที่ไม่พึงประสงค์ถูกออกแบบมาโดยเฉพาะเพื่อใช้ประโยชน์จากความไว้วางใจของผู้ใช้ผ่านเทคนิคหลอกลวง และกลยุทธ์ที่พบได้บ่อยขึ้นเรื่อย ๆ...

การหลอกลวงทางอีเมลด้านความปลอดภัยของเว็บแอปพลิเคชัน

ฟิชชิ่ง, สแปม
ในสถานการณ์ภัยคุกคามในปัจจุบัน อีเมลยังคงเป็นหนึ่งในช่องทางโจมตีทางไซเบอร์ที่พบบ่อยที่สุด ผู้ใช้ต้องระมัดระวังเมื่อได้รับข้อความที่ไม่คาดคิด โดยเฉพาะอย่างยิ่งข้อความที่เร่งให้ดำเนินการทันที อีเมลเหล่านี้จำนวนมากเป็นการหลอกลวงที่ถูกสร้างขึ้นอย่างพิถีพิถัน และสิ่งสำคัญคือต้องเข้าใจว่าอีเมลเหล่านั้นไม่ได้เกี่ยวข้องกับบริษัท องค์กร หรือหน่วยงานที่ถูกต้องตามกฎหมายใดๆ...

เข้าชมมากที่สุด

เอพอนเนอร์ดอทคอม

ปัญหา
23,387
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
21,258
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...