Payouts King Ransomware

勒索軟體年Mezo年

翻譯為：

Payouts King勒索軟體攻擊採用了一種高度規避性的技術，即利用QEMU作為反向SSH後門。這種方法允許攻擊者直接在受感染的系統上部署隱藏的虛擬機器（VM），從而有效地繞過傳統的終端安全控制。

QEMU 是一款開源的 CPU 模擬器和虛擬化平台，它允許作業系統以虛擬機器的形式運行在主機設備上。由於大多數安全解決方案無法檢查這些虛擬機器內部的活動，攻擊者利用這一盲點來執行惡意負載、儲存有害數據，並透過 SSH 連接建立隱藏的遠端存取隧道。

這種策略並非全新。在與 3AM 勒索軟體組織、LoudMiner 和 CRON#TRAP 網路釣魚活動等組織相關的行動中，都曾觀察到對 QEMU 的類似濫用。

安全研究人員發現了兩起涉及 QEMU 部署的重大攻擊活動，其中一起被追蹤為 STAC4713，最早在 2025 年 11 月被發現。此攻擊活動與 Payouts King 勒索軟體行動直接相關，並歸因於 GOLD ENCOUNTER 組織。

GOLD ENCOUNTER 攻擊活動以針對虛擬機器管理程式並在 VMware 和 ESXi 環境中部署加密程式而聞名。在該攻擊活動中，攻擊者透過建立名為 TPMProfiler 的計畫任務來實現持久性和隱藏性，該任務會啟動一個具有系統級權限的隱藏 QEMU 虛擬機器。

為了避免被偵測到，惡意虛擬磁碟檔案被偽裝成合法的資料庫和DLL檔案。此外，還配置了連接埠轉發，以便透過反向SSH隧道隱蔽存取受感染的系統。部署的虛擬機器運行Alpine Linux 3.22.0，並包含一套攻擊者工具，例如AdaptixC2、Chisel、BusyBox和Rclone。

攻擊者展現出極強的彈性，能夠根據目標環境使用多個入口點取得初始存取權限。早期事件涉及暴露的 SonicWall VPN 系統，而最近的攻擊則利用了 CVE-2025-26399 漏洞。

在後續的攻擊活動中觀察到的其他入侵手段包括：

這些不同的方法凸顯了技術利用和針對人的欺騙相結合的特徵。

一旦入侵網絡，攻擊者會利用高級後滲透技術提取敏感資料並擴大其控制範圍。這個過程通常包括使用 VSS（vssuirun.exe）建立卷影副本，然後利用 SMB 協定將關鍵系統檔案（例如 NTDS.dit、SAM 和 SYSTEM 登錄單元）複製到臨時目錄中。

在後續階段，攻擊者會濫用諸如 ADNotificationManager.exe 之類的合法二進位檔案來側載惡意負載，特別是 Havoc C2 元件 (vcruntime140_1.dll)。然後，攻擊者使用 Rclone 進行資料竊取，將竊取的資訊傳輸到遠端 SFTP 伺服器。

Payouts King勒索軟體展現出極高的技術水準。它採用了大量的混淆和反分析技術來逃避偵測，同時透過定時任務和底層系統呼叫來停用安全工具來維持持久性。

其加密機制結合了 CTR 模式下的 AES-256 和 RSA-4096，對較大檔案採用間歇加密，以最佳化速度和效果。勒索信會將受害者引向暗網洩漏網站，透過資料外洩的威脅不斷施壓。

有證據表明，這次勒索軟體攻擊可能與 Black Basta 集團的前成員有關，依據是其使用的策略存在重疊，例如垃圾郵件轟炸、透過 Microsoft Teams 進行網路釣魚以及濫用遠端存取工具。

為了防範這種不斷演變的威脅，各組織應密切注意以下預警訊號：

及早發現這些跡象可以顯著降低長時間遭受攻擊和資料遺失的風險。

搜索