Payouts King Ransomware

通过Mezo在勒索软件

翻译为：

Payouts King勒索软件攻击采用了一种高度规避性的技术，即利用QEMU作为反向SSH后门。这种方法允许攻击者直接在受感染的系统上部署隐藏的虚拟机（VM），从而有效地绕过传统的终端安全控制。

QEMU 是一款开源的 CPU 模拟器和虚拟化平台，它允许操作系统以虚拟机的形式运行在主机设备上。由于大多数安全解决方案无法检查这些虚拟机内部的活动，攻击者利用这一盲点来执行恶意载荷、存储有害数据，并通过 SSH 连接建立隐蔽的远程访问隧道。

这种策略并非全新。在与 3AM 勒索软件组织、LoudMiner 和 CRON#TRAP 网络钓鱼活动等组织相关的行动中，都曾观察到对 QEMU 的类似滥用。

安全研究人员发现了两起涉及 QEMU 部署的重大攻击活动，其中一起被追踪为 STAC4713，最早于 2025 年 11 月被发现。该攻击活动与 Payouts King 勒索软件行动直接相关，并归因于 GOLD ENCOUNTER 组织。

GOLD ENCOUNTER 攻击活动以针对虚拟机管理程序并在 VMware 和 ESXi 环境中部署加密程序而闻名。在该攻击活动中，攻击者通过创建名为 TPMProfiler 的计划任务来实现持久性和隐蔽性，该任务会启动一个具有系统级权限的隐藏 QEMU 虚拟机。

为了避免被检测到，恶意虚拟磁盘文件被伪装成合法的数据库和DLL文件。此外，还配置了端口转发，以便通过反向SSH隧道隐蔽访问受感染的系统。部署的虚拟机运行Alpine Linux 3.22.0，并包含一套攻击者工具，例如AdaptixC2、Chisel、BusyBox和Rclone。

攻击者展现出极强的灵活性，能够根据目标环境使用多个入口点获取初始访问权限。早期事件涉及暴露的 SonicWall VPN 系统，而最近的攻击则利用了 CVE-2025-26399 漏洞。

在后续的攻击活动中观察到的其他入侵手段包括：

这些不同的方法凸显了技术利用和针对人的欺骗相结合的特点。

一旦入侵网络，攻击者会利用高级后渗透技术提取敏感数据并扩大其控制范围。该过程通常包括使用 VSS（vssuirun.exe）创建卷影副本，然后利用 SMB 协议将关键系统文件（例如 NTDS.dit、SAM 和 SYSTEM 注册表单元）复制到临时目录中。

在后续阶段，攻击者会滥用诸如 ADNotificationManager.exe 之类的合法二进制文件来侧载恶意载荷，特别是 Havoc C2 组件 (vcruntime140_1.dll)。然后，攻击者使用 Rclone 进行数据窃取，将窃取的信息传输到远程 SFTP 服务器。

Payouts King勒索软件展现出极高的技术水平。它采用了大量的混淆和反分析技术来逃避检测，同时通过定时任务和底层系统调用禁用安全工具来维持持久性。

其加密机制结合了 CTR 模式下的 AES-256 和 RSA-4096，对较大文件采用间歇加密，以优化速度和效果。勒索信会将受害者引向暗网泄露网站，通过数据泄露的威胁不断施压。

有证据表明，此次勒索软件攻击可能与 Black Basta 集团的前成员有关，依据是其使用的策略存在重叠，例如垃圾邮件轰炸、通过 Microsoft Teams 进行网络钓鱼以及滥用远程访问工具。

为了防范这种不断演变的威胁，各组织应密切关注以下预警信号：

及早发现这些迹象可以显著降低长时间遭受攻击和数据丢失的风险。

搜索