Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền Khoản thanh toán King Ransomware

Khoản thanh toán King Ransomware

Đến năm Mezo năm Phần mềm tống tiền
Dịch sang:

Nhóm tin tặc Payouts King đã sử dụng một kỹ thuật cực kỳ khó phát hiện bằng cách lợi dụng QEMU như một cửa hậu SSH ngược. Phương pháp này cho phép kẻ tấn công triển khai các máy ảo (VM) ẩn trực tiếp trên các hệ thống bị xâm nhập, từ đó vượt qua hiệu quả các biện pháp kiểm soát an ninh điểm cuối truyền thống.

QEMU, một trình giả lập CPU và nền tảng ảo hóa mã nguồn mở, cho phép các hệ điều hành chạy dưới dạng máy ảo trên thiết bị chủ. Vì hầu hết các giải pháp bảo mật không thể kiểm tra hoạt động bên trong các máy ảo này, kẻ tấn công lợi dụng điểm mù này để thực thi các phần mềm độc hại, lưu trữ dữ liệu nguy hiểm và thiết lập các đường hầm truy cập từ xa bí mật thông qua kết nối SSH.

Chiến thuật này không hoàn toàn mới. Việc lạm dụng QEMU tương tự đã được ghi nhận trong các hoạt động liên quan đến các nhóm như nhóm mã độc tống tiền 3AM, LoudMiner và chiến dịch lừa đảo CRON#TRAP.

Bên trong chiến dịch STAC4713

Các nhà nghiên cứu bảo mật đã xác định được hai chiến dịch lớn liên quan đến việc triển khai QEMU, trong đó một chiến dịch được theo dõi với mã số STAC4713, lần đầu tiên được phát hiện vào tháng 11 năm 2025. Chiến dịch này được liên kết trực tiếp với hoạt động mã độc tống tiền Payouts King và được cho là do nhóm GOLD ENCOUNTER thực hiện.

Chiến dịch GOLD ENCOUNTER nổi tiếng với việc nhắm mục tiêu vào các hypervisor và triển khai các phần mềm mã hóa trong môi trường VMware và ESXi. Trong chiến dịch này, kẻ tấn công thiết lập khả năng duy trì hoạt động và ẩn mình bằng cách tạo một tác vụ theo lịch trình có tên TPMProfiler, khởi chạy một máy ảo QEMU ẩn với quyền quản trị cấp SYSTEM.

Để tránh bị phát hiện, các tệp đĩa ảo độc hại được ngụy trang thành các tệp cơ sở dữ liệu và DLL hợp pháp. Ngoài ra, tính năng chuyển tiếp cổng được cấu hình để cho phép truy cập bí mật vào hệ thống bị nhiễm thông qua các đường hầm SSH ngược. Máy ảo được triển khai chạy hệ điều hành Alpine Linux 3.22.0 và bao gồm bộ công cụ của kẻ tấn công như AdaptixC2, Chisel, BusyBox và Rclone.

Các lộ trình truy cập và khai thác ban đầu

Kẻ tấn công đã thể hiện sự linh hoạt trong việc giành quyền truy cập ban đầu, sử dụng nhiều điểm xâm nhập khác nhau tùy thuộc vào môi trường mục tiêu. Các sự cố ban đầu liên quan đến các hệ thống VPN của SonicWall bị lộ thông tin, trong khi các cuộc tấn công gần đây hơn đã khai thác lỗ hổng CVE-2025-26399.

Các phương thức xâm nhập bổ sung được quan sát thấy trong các chiến dịch tiếp theo bao gồm:

  • Lỗ hổng bảo mật trong dịch vụ Cisco SSL VPN
  • Tấn công phi kỹ thuật thông qua Microsoft Teams, trong đó kẻ tấn công giả mạo nhân viên CNTT.
  • Phát tán phần mềm độc hại thông qua Quick Assist

Những phương pháp tiếp cận đa dạng này làm nổi bật sự kết hợp giữa khai thác kỹ thuật và lừa dối nhắm vào con người.

Các hoạt động sau khi bị xâm phạm và hành vi đánh cắp dữ liệu

Sau khi xâm nhập vào mạng, kẻ tấn công sử dụng các kỹ thuật khai thác sau xâm nhập tiên tiến để trích xuất dữ liệu nhạy cảm và leo thang quyền kiểm soát. Quá trình này thường bao gồm việc tạo bản sao bóng bằng VSS (vssuirun.exe), sau đó tận dụng giao thức SMB để sao chép các tệp hệ thống quan trọng như NTDS.dit, SAM và các nhánh đăng ký SYSTEM vào các thư mục tạm thời.

Ở các giai đoạn sau, các tệp nhị phân hợp pháp như ADNotificationManager.exe bị lợi dụng để cài đặt các phần mềm độc hại, cụ thể là một thành phần của máy chủ điều khiển Havoc (vcruntime140_1.dll). Sau đó, dữ liệu bị đánh cắp được chuyển bằng Rclone, chuyển thông tin bị đánh cắp đến các máy chủ SFTP từ xa.

Khả năng của phần mềm tống tiền và chiến lược mã hóa

Biến thể mã độc tống tiền Payouts King thể hiện sự tinh vi về mặt kỹ thuật. Nó kết hợp các kỹ thuật che giấu và chống phân tích phức tạp để né tránh sự phát hiện, đồng thời duy trì hoạt động thông qua các tác vụ theo lịch trình và vô hiệu hóa các công cụ bảo mật thông qua các lệnh gọi hệ thống cấp thấp.

Cơ chế mã hóa của nó kết hợp AES-256 ở chế độ CTR với RSA-4096, áp dụng mã hóa gián đoạn cho các tệp lớn hơn để tối ưu hóa tốc độ và hiệu quả. Nạn nhân bị dẫn đến các trang web rò rỉ dữ liệu trên dark web thông qua các thư đòi tiền chuộc, gây áp lực ngày càng tăng thông qua mối đe dọa về việc dữ liệu bị lộ.

Bằng chứng cho thấy hoạt động tấn công bằng mã độc tống tiền này có thể liên quan đến các chi nhánh cũ của nhóm Black Basta, dựa trên các chiến thuật trùng lặp như tấn công bằng thư rác, lừa đảo qua Microsoft Teams và lạm dụng các công cụ truy cập từ xa.

Các dấu hiệu quan trọng về sự xâm phạm cần theo dõi

Để phòng chống mối đe dọa ngày càng gia tăng này, các tổ chức nên theo dõi các dấu hiệu cảnh báo sau:

  • Việc cài đặt hoặc chạy QEMU trái phép.
  • Các tác vụ theo lịch trình đáng ngờ đang chạy với quyền SYSTEM cao.
  • Hoạt động chuyển tiếp cổng SSH bất thường
  • Đường hầm SSH đi ra sử dụng các cổng không chuẩn.

Việc phát hiện sớm các dấu hiệu này có thể giảm đáng kể nguy cơ bị xâm phạm kéo dài và mất dữ liệu.

xu hướng

Lừa đảo qua email về bảo mật ứng dụng web

Lừa đảo, Thư rác
Trong bối cảnh các mối đe dọa hiện nay, email vẫn là một trong những điểm xâm nhập phổ biến nhất của các cuộc tấn công mạng. Người dùng phải luôn cảnh giác khi nhận được những tin nhắn bất ngờ, đặc biệt là những tin nhắn yêu cầu hành động ngay lập tức. Nhiều email trong số này là những trò lừa đảo được dàn dựng tinh vi, và điều quan trọng là phải hiểu rằng chúng không liên quan đến bất kỳ công...

Xem nhiều nhất

Đang tải...