Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Fidye yazılımı Payouts King fidye yazılımı

Payouts King fidye yazılımı

Mezo'de Fidye yazılımı'de
Çevir:

Payouts King fidye yazılımı saldırısı, QEMU'yu ters SSH arka kapısı olarak kullanarak oldukça sinsi bir teknik geliştirdi. Bu yaklaşım, saldırganların ele geçirdikleri sistemlere doğrudan gizli sanal makineler (VM'ler) yerleştirmelerine ve geleneksel uç nokta güvenlik kontrollerini etkili bir şekilde atlamalarına olanak tanıyor.

Açık kaynaklı bir CPU öykünme ve sanallaştırma platformu olan QEMU, işletim sistemlerinin bir ana cihaz üzerinde sanal makineler olarak çalışmasını sağlar. Çoğu güvenlik çözümü bu sanal makinelerin içindeki faaliyetleri inceleyemediğinden, saldırganlar bu kör noktayı kötü amaçlı yazılımları çalıştırmak, zararlı verileri depolamak ve SSH bağlantıları aracılığıyla gizli uzaktan erişim tünelleri kurmak için kullanırlar.

Bu taktik tamamen yeni değil. QEMU'nun benzer şekilde kötüye kullanıldığı, 3AM fidye yazılımı grubu, LoudMiner ve CRON#TRAP kimlik avı kampanyası gibi gruplarla bağlantılı operasyonlarda da gözlemlenmiştir.

STAC4713 Kampanyasının İç Yüzü

Güvenlik araştırmacıları, QEMU dağıtımını içeren iki büyük kampanya tespit etti; bunlardan biri, ilk olarak Kasım 2025'te gözlemlenen STAC4713 olarak izleniyor. Bu kampanya, Payouts King fidye yazılımı operasyonuyla doğrudan bağlantılı ve GOLD ENCOUNTER grubuna atfediliyor.

GOLD ENCOUNTER, VMware ve ESXi ortamlarında hipervizörleri hedef alması ve şifreleyiciler dağıtmasıyla bilinir. Bu kampanyada, saldırganlar TPMProfiler adlı zamanlanmış bir görev oluşturarak kalıcılık ve gizlilik sağlarlar; bu görev, SYSTEM düzeyinde ayrıcalıklara sahip gizli bir QEMU sanal makinesini başlatır.

Tespit edilmekten kaçınmak için, kötü amaçlı sanal disk dosyaları meşru veritabanı ve DLL dosyaları gibi gizlenmiştir. Ayrıca, ters SSH tünelleri aracılığıyla enfekte sisteme gizli erişim sağlamak için port yönlendirme yapılandırılmıştır. Dağıtılan sanal makine Alpine Linux 3.22.0 çalıştırıyor ve AdaptixC2, Chisel, BusyBox ve Rclone gibi saldırgan yardımcı programlarından oluşan bir araç seti içeriyor.

İlk Erişim ve İstismar Yolları

Saldırganlar, hedef ortama bağlı olarak birden fazla giriş noktası kullanarak ilk erişimi elde etmede esneklik gösterdiler. İlk olaylar, güvenlik açığı bulunan SonicWall VPN sistemlerini içerirken, daha yeni saldırılar CVE-2025-26399 açığını istismar etti.

Sonraki kampanyalarda gözlemlenen ek sızma yöntemleri şunlardır:

  • Açığa çıkan Cisco SSL VPN hizmetlerinin güvenliğinin ihlal edilmesi
  • Microsoft Teams üzerinden gerçekleştirilen sosyal mühendislik saldırılarında, saldırganlar BT personeli gibi davranırlar.
  • Quick Assist aracılığıyla zararlı yazılımların iletilmesi

Bu çeşitli yaklaşımlar, teknik istismarın ve insan odaklı aldatmanın bir karışımını vurgulamaktadır.

Saldırı Sonrası Operasyonlar ve Veri Hırsızlığı

Ağ içine girdikten sonra, saldırganlar hassas verileri çıkarmak ve ağdaki konumlarını sağlamlaştırmak için gelişmiş sömürü sonrası teknikler kullanırlar. Bu süreç tipik olarak VSS (vssuirun.exe) kullanarak gölge kopyalar oluşturmayı ve ardından NTDS.dit, SAM ve SYSTEM kayıt defteri kovanları gibi kritik sistem dosyalarını geçici dizinlere kopyalamak için SMB protokollerinden yararlanmayı içerir.

Daha sonraki aşamalarda, ADNotificationManager.exe gibi yasal ikili dosyalar, özellikle bir Havoc C2 bileşeni (vcruntime140_1.dll) olmak üzere kötü amaçlı yazılımların yüklenmesi için kötüye kullanılır. Ardından Rclone kullanılarak veri sızdırma işlemi gerçekleştirilir ve çalınan bilgiler uzak SFTP sunucularına aktarılır.

Fidye Yazılımı Yetenekleri ve Şifreleme Stratejisi

Payouts King fidye yazılımı türü, güçlü bir teknik gelişmişlik sergiliyor. Tespit edilmekten kaçınmak için kapsamlı gizleme ve analiz karşıtı teknikler kullanırken, zamanlanmış görevler aracılığıyla kalıcılığı koruyor ve düşük seviyeli sistem çağrıları yoluyla güvenlik araçlarını devre dışı bırakıyor.

Şifreleme mekanizması, AES-256'yı CTR modunda RSA-4096 ile birleştirerek, daha büyük dosyalar için aralıklı şifreleme uygulayarak hızı ve etkiyi optimize eder. Mağdurlar, fidye notları aracılığıyla karanlık ağdaki sızıntı sitelerine yönlendirilir ve veri ifşası tehdidiyle baskı artırılır.

Elde edilen kanıtlar, spam bombardımanı, Microsoft Teams üzerinden kimlik avı ve uzaktan erişim araçlarının kötüye kullanımı gibi örtüşen taktiklere dayanarak, bu fidye yazılımı operasyonunun Black Basta grubunun eski üyeleriyle bağlantılı olabileceğini düşündürmektedir.

Uzlaşmanın Başlıca Göstergeleri

Bu gelişen tehdide karşı korunmak için kuruluşlar aşağıdaki uyarı işaretlerini izlemelidir:

  • QEMU'nun yetkisiz kurulumu veya çalıştırılması
  • Yüksek SYSTEM ayrıcalıklarıyla çalışan şüpheli zamanlanmış görevler
  • Olağandışı SSH port yönlendirme etkinliği
  • Standart olmayan portlar kullanan giden SSH tünelleri

Bu göstergelerin erken tespiti, uzun süreli güvenlik ihlali ve veri kaybı riskini önemli ölçüde azaltabilir.

trend

Web Uygulaması Güvenliği E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Günümüzün tehdit ortamında, e-posta siber saldırılar için en yaygın giriş noktalarından biri olmaya devam ediyor. Kullanıcılar, özellikle acil eylem çağrısı yapan beklenmedik mesajlarla karşılaştıklarında tetikte olmalıdır. Bu e-postaların çoğu özenle hazırlanmış dolandırıcılıklardır ve ne kadar ikna edici görünürlerse görünsünler, herhangi bir meşru şirket, kuruluş veya kurumla ilişkili...

En çok görüntülenen

Yükleniyor...