Свежие новости

Современные шифровальщики все чаще прячут свои инструменты непосредственно внутри заражённых систем, а не рядом с ними. Группа Payouts King использует QEMU для создания скрытых виртуальных машин на скомпрометированных устройствах. Это усложняет работу антивирусов и систем EDR, так как они контролируют хост, но не видят процессы внутри гостевой виртуальной машины.

QEMU обычно служит для эмуляции процессоров и запуска разных операционных систем в виртуальной среде. Для злоумышленников это удобный способ размещения вредоносных файлов, запуска утилит для разведки и организации скрытых SSH-туннелей. Ранее QEMU использовался в атаках группировок 3AM, LoudMiner и CRON#TRAP.

Исследователи Sophos подробно изучили две кампании с применением QEMU. Первая, известная как STAC4713, связана с вымогателем Payouts King и обнаружена в ноябре 2025 года. Вторая — STAC3725, выявленная в феврале 2026 года, использовала уязвимость CVE-2025-5777 в устройствах NetScaler ADC и Gateway для проникновения.

В рамках STAC4713 операторы из группы GOLD ENCOUNTER создают задачу TPMProfiler, запускающую виртуальную машину QEMU с правами SYSTEM. Виртуальные диски маскируются под базы данных и DLL-библиотеки, а через SSH-туннели организовывается скрытый доступ к хосту. Внутри виртуальной машины работает Alpine Linux с предустановленными инструментами AdaptixC2, Chisel, BusyBox и Rclone для управления соединениями и сбора данных.

Пути проникновения варьировались: от доступа через SonicWall VPN и уязвимость CVE-2025-26399 в SolarWinds Web Help Desk до социальной инженерии с использованием Microsoft Teams и Quick Assist. Для эксфильтрации данных применялся Rclone, а для сайдлоадинга — легитимный ADNotificationManager.exe.

Отчет Zscaler предполагает связь Payouts King с бывшими участниками BlackBasta по схожим методам фишинга и эксплуатации Quick Assist. Используемые методы включают сильную обфускацию, защиту от анализа и отключение защитных систем с помощью низкоуровневых вызовов.

Шифрование данных в Payouts King комбинированное: AES-256 для файлов, RSA-4096 для ключей, а крупные файлы шифруются прерывисто для ускорения работы без потери эффективности. Вымогатели угрожают публикацией украденной информации на сайтах утечек в даркнете.

В кампании STAC3725 после эксплуатации CitrixBleed 2 устанавливается сервис AppMgmt, создаётся локальный администратор и клиент ScreenConnect для удалённого управления. Затем разворачивается QEMU с Alpine Linux, где вручную разворачиваются инструменты Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute и Metasploit, позволяющие атакующим собирать данные и анализировать домен.

Sophos рекомендует искать признаки компрометации, такие как несанкционированные установки QEMU, необычные задачи с запуском от SYSTEM, нестандартные SSH-переадресации и туннели. Эта тактика не ограничивается одной группой, а демонстрирует тенденцию использования виртуальных машин как укрытий для скрытых операций.

News Reporter