Виплати King Ransomware
Програма-вимагач Payouts King запровадила надзвичайно хитрий метод, використовуючи QEMU як зворотний SSH-бекдор. Цей підхід дозволяє зловмисникам розгортати приховані віртуальні машини (ВМ) безпосередньо на скомпрометованих системах, ефективно обходячи традиційні засоби контролю безпеки кінцевих точок.
QEMU, емулятор процесора та платформа віртуалізації з відкритим кодом, дозволяє операційним системам запускатися як віртуальні машини на хост-пристрої. Оскільки більшість рішень безпеки не можуть перевіряти активність усередині цих віртуальних машин, зловмисники використовують цю сліпу зону для виконання шкідливих корисних навантажень, зберігання шкідливих даних та створення прихованих тунелів віддаленого доступу через SSH-з'єднання.
Ця тактика не є зовсім новою. Подібне зловживання QEMU спостерігалося в операціях, пов'язаних з такими групами, як група вимагачів 3AM, LoudMiner та фішингова кампанія CRON#TRAP.
Зміст
Всередині кампанії STAC4713
Дослідники з безпеки виявили дві основні кампанії, пов'язані з розгортанням QEMU, одна з яких відстежувалася як STAC4713 і вперше була помічена в листопаді 2025 року. Ця кампанія була безпосередньо пов'язана з операцією програми-вимагача Payouts King та приписується групі GOLD ENCOUNTER.
GOLD ENCOUNTER відомий тим, що атакує гіпервізори та розгортає шифрувальники в середовищах VMware та ESXi. У рамках цієї кампанії зловмисники встановлюють стійкість та прихованість, створюючи заплановане завдання під назвою TPMProfiler, яке запускає приховану віртуальну машину QEMU з привілеями рівня SYSTEM.
Щоб уникнути виявлення, шкідливі файли віртуальних дисків маскуються під легітимні файли бази даних та DLL-файли. Крім того, налаштовано переадресацію портів для забезпечення прихованого доступу до зараженої системи через зворотні SSH-тунелі. Розгорнута віртуальна машина працює під управлінням Alpine Linux 3.22.0 та містить набір утиліт для атакуючих, таких як AdaptixC2, Chisel, BusyBox та Rclone.
Початкові шляхи доступу та експлуатації
Зловмисники продемонстрували гнучкість в отриманні початкового доступу, використовуючи кілька точок входу залежно від цільового середовища. Ранні інциденти стосувалися викритих VPN-систем SonicWall, тоді як новіші атаки використовували вразливість CVE-2025-26399.
Додаткові методи вторгнення, що спостерігалися в наступних кампаніях, включають:
- Компрометація розкритих сервісів Cisco SSL VPN
- Соціальна інженерія через Microsoft Teams, де зловмисники видають себе за ІТ-персонал
- Доставка шкідливих корисних навантажень через Quick Assist
Ці різноманітні підходи підкреслюють поєднання технічної експлуатації та обману, спрямованого на людину.
Операції після компрометації та крадіжка даних
Потрапивши в мережу, зловмисники використовують передові методи пост-експлоатації для вилучення конфіденційних даних та розширення своїх позицій. Процес зазвичай включає створення тіньових копій за допомогою VSS (vssuirun.exe), а потім використання протоколів SMB для копіювання критичних системних файлів, таких як NTDS.dit, SAM та SYSTEM, у тимчасові каталоги.
На пізніших етапах легітимні бінарні файли, такі як ADNotificationManager.exe, використовуються для завантаження шкідливих корисних навантажень, зокрема компонента Havoc C2 (vcruntime140_1.dll). Потім відбувається вилучення даних за допомогою Rclone, передаючи викрадену інформацію на віддалені SFTP-сервери.
Можливості програм-вимагачів та стратегія шифрування
Штам програми-вимагача Payouts King демонструє високу технічну складність. Він включає в себе розширені методи обфускації та антианалізу, щоб уникнути виявлення, зберігаючи при цьому безперебійність через заплановані завдання та вимикаючи інструменти безпеки за допомогою низькорівневих системних викликів.
Його механізм шифрування поєднує AES-256 у режимі CTR з RSA-4096, застосовуючи періодичне шифрування для великих файлів для оптимізації швидкості та ефективності. Жертв перенаправляють на сайти витоків даних у темній мережі через повідомлення з вимогою викупу, що збільшує тиск через загрозу витоку даних.
Докази свідчать про те, що ця операція з використанням програм-вимагачів може бути пов'язана з колишніми членами групи Black Basta, що базується на тактиках, що перетинаються, таких як спам-бомбардування, фішинг через Microsoft Teams та зловживання інструментами віддаленого доступу.
Ключові показники компромісу, на які слід звернути увагу
Щоб захиститися від цієї загрози, що постійно змінюється, організації повинні стежити за такими попереджувальними ознаками:
- Несанкціоноване встановлення або виконання QEMU
- Підозрілі заплановані завдання, що виконуються з підвищеними системними правами
- Незвичайна активність переадресації портів SSH
- Вихідні SSH-тунелі з використанням нестандартних портів
Раннє виявлення цих показників може значно зменшити ризик тривалої компрометації та втрати даних.
