Vyděrači maskují škodlivou aktivitu pomocí virtuálních strojů na bázi QEMU
Skupiny vyděračů stále častěji využívají virtualizaci k ukrytí své činnosti před bezpečnostními systémy. Operátoři ransomwaru Payouts King a dalších kyberzločineckých skupin nasazují skryté virtuální stroje na kompromitovaných hostitelích, což jim umožňuje obcházet antiviry a EDR řešení.
Jak funguje útok s využitím QEMU
Útočníci na cílový systém nasadí open-source hypervizor QEMU. Uvnitř virtuálního stroje spouštějí odlehčený operační systém, například Alpine Linux, který na hostiteli nezanechává stopy. Všechny škodlivé nástroje, včetně prostředků pro vzdálený přístup, krádež dat a průzkum, pracují uvnitř tohoto izolovaného prostředí a zůstávají neviditelné pro monitorovací nástroje hostitelského OS.
Tento přístup přináší útočníkům řadu výhod:
- Škodlivé soubory nejsou skenovány antivirem hostitele.
- Síťová spojení iniciovaná z virtuálního stroje vypadají jako legitimní provoz QEMU.
- Uvnitř VM lze spouštět libovolné nástroje bez rizika odhalení.
Dvě kampaně: Payouts King a útoky přes zranitelnosti Citrix
Výzkumníci Sophos zdokumentovali dva incidenty, kde byla tato technika použita. V prvním případě (STAC4713) skupina GOLD ENCOUNTER, spojená s ransomwarem Payouts King, použila QEMU k ukotvení v síti. Druhý případ (STAC3725) byl založen na zneužití zranitelnosti CitrixBleed 2 (CVE-2025-5777) v zařízeních NetScaler.
Kampaň STAC4713: Payouts King
Operátoři vytvořili naplánovanou úlohu TPMProfiler, která spouštěla QEMU s právy SYSTEM. Virtuální disky byly maskovány jako databázové soubory nebo DLL. Uvnitř VM běžel Alpine Linux s předinstalovanými nástroji:
- AdaptixC2 – pro řízení velitelského kanálu.
- Chisel – pro proxy provozu.
- BusyBox – pro provádění systémových příkazů.
- Rclone – pro krádež dat.
Počáteční přístup byl získán prostřednictvím zranitelností v SonicWall VPN nebo SolarWinds Web Help Desk (CVE-2025-26399). Po proniknutí útočníci extrahovali přihlašovací údaje z Active Directory pomocí stínových kopií svazků (VSS) a kopírováním souborů NTDS.dit, SAM a SYSTEM.
Kampaň STAC3725: útoky přes CitrixBleed 2
V tomto útoku útočníci zneužili zranitelnost v NetScaler, poté nainstalovali ScreenConnect pro vzdálený přístup a nasadili QEMU s Alpine Linux. Na rozdíl od první kampaně byly nástroje sestavovány ručně uvnitř VM. Patřily mezi ně:
- Impacket – pro práci se síťovými protokoly Windows.
- KrbRelayx – pro útoky na Kerberos.
- BloodHound.py – pro analýzu Active Directory.
- Metasploit – pro post-exploitation.
Cílem byla krádež přihlašovacích údajů, průzkum domény a příprava na exfiltraci dat přes FTP.
Co je důležité
- Použití QEMU umožňuje vyděračům obejít většinu bezpečnostních nástrojů hostitele.
- Payouts King je pravděpodobně spojen s bývalými členy BlackBasta, což potvrzují podobné metody sociálního inženýrství.
- Ransomware používá AES-256 pro data a RSA-4096 pro klíče, stejně jako přerušované šifrování pro zrychlení.
- Společnostem se doporučuje sledovat neautorizované instalace QEMU, podezřelé úlohy s právy SYSTEM a nestandardní SSH tunely.
Kontext a důsledky
Trend využívání virtualizace v útocích roste. Dříve podobné metody používaly skupiny 3AM, LoudMiner a v phishingové kampani CRON#TRAP. Pro ochranu před těmito hrozbami je nutné zavést monitorování na úrovni hypervizoru, omezit práva pro instalaci softwaru a používat behaviorální analýzu.
— Editorial Team
Zatím žádné komentáře.