Mga Pagbabayad King Ransomware
Ang operasyon ng Payouts King ransomware ay nagpakilala ng isang lubos na nakakaiwas na pamamaraan sa pamamagitan ng paggamit ng QEMU bilang isang reverse SSH backdoor. Ang pamamaraang ito ay nagbibigay-daan sa mga umaatake na direktang mag-deploy ng mga nakatagong virtual machine (VM) sa mga nakompromisong sistema, na epektibong nilalampasan ang mga tradisyonal na kontrol sa seguridad ng endpoint.
Ang QEMU, isang open-source na CPU emulator at virtualization platform, ay nagbibigay-daan sa mga operating system na tumakbo bilang mga virtual machine sa isang host device. Dahil karamihan sa mga solusyon sa seguridad ay hindi kayang siyasatin ang aktibidad sa loob ng mga VM na ito, sinasamantala ng mga attacker ang blind spot na ito upang magsagawa ng mga malisyosong payload, mag-imbak ng mapaminsalang data, at magtatag ng mga tago na remote access tunnel sa pamamagitan ng mga koneksyon sa SSH.
Hindi na bago ang taktikang ito. Naobserbahan na rin ang katulad na pang-aabuso sa QEMU sa mga operasyong may kaugnayan sa mga grupong gaya ng 3AM ransomware group, LoudMiner, at CRON#TRAP phishing campaign.
Talaan ng mga Nilalaman
Sa loob ng Kampanya ng STAC4713
Natukoy ng mga mananaliksik sa seguridad ang dalawang pangunahing kampanya na kinasasangkutan ng pag-deploy ng QEMU, kung saan ang isa ay sinusubaybayan bilang STAC4713, na unang naobserbahan noong Nobyembre 2025. Ang kampanyang ito ay direktang iniugnay sa operasyon ng Payouts King ransomware at iniuugnay sa grupong GOLD ENCOUNTER.
Kilala ang GOLD ENCOUNTER sa pag-target sa mga hypervisor at pag-deploy ng mga encryptor sa mga kapaligirang VMware at ESXi. Sa loob ng kampanyang ito, nagtatatag ang mga umaatake ng persistence at stealth sa pamamagitan ng paglikha ng isang naka-iskedyul na gawain na pinangalanang TPMProfiler, na naglulunsad ng isang nakatagong QEMU virtual machine na may mga pribilehiyo sa antas ng SYSTEM.
Upang maiwasan ang pagtuklas, ang mga malisyosong virtual disk file ay nagbabalatkayo bilang mga lehitimong database at DLL file. Bukod pa rito, ang port forwarding ay naka-configure upang paganahin ang palihim na pag-access sa nahawaang sistema sa pamamagitan ng mga reverse SSH tunnel. Ang naka-deploy na VM ay nagpapatakbo ng Alpine Linux 3.22.0 at may kasamang toolkit ng mga attacker utilities tulad ng AdaptixC2, Chisel, BusyBox, at Rclone.
Mga Paunang Landas ng Pag-access at Pagsasamantala
Nagpakita ang mga umaatake ng kakayahang umangkop sa pagkuha ng unang access, gamit ang maraming entry point depende sa target na kapaligiran. Ang mga naunang insidente ay kinasangkutan ng mga nakalantad na SonicWall VPN system, habang ang mga mas bagong pag-atake ay sinamantala ang CVE-2025-26399 na depekto.
Kabilang sa mga karagdagang pamamaraan ng panghihimasok na naobserbahan sa mga kasunod na kampanya ang:
- Kompromiso ng mga nakalantad na serbisyo ng Cisco SSL VPN
- Social engineering sa pamamagitan ng Microsoft Teams, kung saan ang mga umaatake ay nagpapanggap na tauhan ng IT
- Paghahatid ng mga malisyosong payload sa pamamagitan ng Quick Assist
Itinatampok ng mga iba't ibang pamamaraang ito ang pinaghalong teknikal na pagsasamantala at panlilinlang na naka-target sa tao.
Mga Operasyon Pagkatapos ng Kompromiso at Pagnanakaw ng Data
Kapag nasa loob na ng isang network, gumagamit ang mga attacker ng mga advanced na pamamaraan pagkatapos ng exploitation upang kumuha ng sensitibong data at palawakin ang kanilang impluwensya. Karaniwang kinabibilangan ng proseso ang paggawa ng mga shadow copy gamit ang VSS (vssuirun.exe), na sinusundan ng paggamit ng mga SMB protocol upang kopyahin ang mga kritikal na system file tulad ng NTDS.dit, SAM, at SYSTEM registry hives papunta sa mga pansamantalang direktoryo.
Sa mga susunod na yugto, ang mga lehitimong binary tulad ng ADNotificationManager.exe ay inaabuso upang mag-sideload ng mga malisyosong payload, partikular na ang isang Havoc C2 component (vcruntime140_1.dll). Pagkatapos ay isinasagawa ang data exfiltration gamit ang Rclone, na naglilipat ng ninakaw na impormasyon sa mga remote SFTP server.
Mga Kakayahan sa Ransomware at Istratehiya sa Pag-encrypt
Ang Payouts King ransomware strain ay nagpapakita ng matibay na teknikal na sopistikasyon. Isinasama nito ang malawak na mga pamamaraan ng obfuscation at anti-analysis upang maiwasan ang pagtuklas, habang pinapanatili ang pagtitiyaga sa mga naka-iskedyul na gawain at hindi pinapagana ang mga tool sa seguridad sa pamamagitan ng mga low-level system call.
Pinagsasama ng mekanismo ng pag-encrypt nito ang AES-256 sa CTR mode at RSA-4096, na naglalapat ng paulit-ulit na pag-encrypt para sa mas malalaking file upang ma-optimize ang bilis at epekto. Ang mga biktima ay itinuturo sa mga dark web leak site sa pamamagitan ng mga tala ng ransom, na nagpapataas ng presyon sa pamamagitan ng banta ng pagkakalantad ng data.
May mga ebidensya na nagmumungkahi na ang operasyon ng ransomware na ito ay maaaring may kaugnayan sa mga dating kaakibat ng grupong Black Basta, batay sa magkakapatong na mga taktika tulad ng spam bombing, phishing sa pamamagitan ng Microsoft Teams, at pang-aabuso sa mga tool sa malayuang pag-access.
Mga Pangunahing Indikasyon ng Kompromisong Dapat Bantayan
Upang maprotektahan laban sa umuusbong na banta na ito, dapat bantayan ng mga organisasyon ang mga sumusunod na palatandaan ng babala:
- Mga hindi awtorisadong pag-install o pagpapatupad ng QEMU
- Mga kahina-hinalang naka-iskedyul na gawain na tumatakbo nang may mataas na mga pribilehiyo ng SYSTEM
- Hindi pangkaraniwang aktibidad ng pagpapasa ng SSH port
- Mga palabas na SSH tunnel gamit ang mga hindi karaniwang port
Ang maagang pagtuklas ng mga tagapagpahiwatig na ito ay maaaring makabuluhang bawasan ang panganib ng matagalang pagkakompromiso at pagkawala ng data.
