Zpět na domů

Vyděrači skrývají útoky přes QEMU: jak se chránit

Článek analyzuje novou techniku vyděračů, kteří používají virtuální stroje QEMU ke skrytí škodlivé aktivity. Zkoumá kampaně Payouts King a útoky přes zranitelnost CitrixBleed 2 a poskytuje doporučení pro detekci a ochranu.

Vyděrači se schovávají ve virtuálních strojích: nová hrozba QEMU
Advertisement 728x90

Vyděrači maskují škodlivou aktivitu pomocí virtuálních strojů na bázi QEMU

Skupiny vyděračů stále častěji využívají virtualizaci k ukrytí své činnosti před bezpečnostními systémy. Operátoři ransomwaru Payouts King a dalších kyberzločineckých skupin nasazují skryté virtuální stroje na kompromitovaných hostitelích, což jim umožňuje obcházet antiviry a EDR řešení.

Jak funguje útok s využitím QEMU

Útočníci na cílový systém nasadí open-source hypervizor QEMU. Uvnitř virtuálního stroje spouštějí odlehčený operační systém, například Alpine Linux, který na hostiteli nezanechává stopy. Všechny škodlivé nástroje, včetně prostředků pro vzdálený přístup, krádež dat a průzkum, pracují uvnitř tohoto izolovaného prostředí a zůstávají neviditelné pro monitorovací nástroje hostitelského OS.

Tento přístup přináší útočníkům řadu výhod:

Google AdInline article slot
  • Škodlivé soubory nejsou skenovány antivirem hostitele.
  • Síťová spojení iniciovaná z virtuálního stroje vypadají jako legitimní provoz QEMU.
  • Uvnitř VM lze spouštět libovolné nástroje bez rizika odhalení.

Dvě kampaně: Payouts King a útoky přes zranitelnosti Citrix

Výzkumníci Sophos zdokumentovali dva incidenty, kde byla tato technika použita. V prvním případě (STAC4713) skupina GOLD ENCOUNTER, spojená s ransomwarem Payouts King, použila QEMU k ukotvení v síti. Druhý případ (STAC3725) byl založen na zneužití zranitelnosti CitrixBleed 2 (CVE-2025-5777) v zařízeních NetScaler.

Kampaň STAC4713: Payouts King

Operátoři vytvořili naplánovanou úlohu TPMProfiler, která spouštěla QEMU s právy SYSTEM. Virtuální disky byly maskovány jako databázové soubory nebo DLL. Uvnitř VM běžel Alpine Linux s předinstalovanými nástroji:

  • AdaptixC2 – pro řízení velitelského kanálu.
  • Chisel – pro proxy provozu.
  • BusyBox – pro provádění systémových příkazů.
  • Rclone – pro krádež dat.

Počáteční přístup byl získán prostřednictvím zranitelností v SonicWall VPN nebo SolarWinds Web Help Desk (CVE-2025-26399). Po proniknutí útočníci extrahovali přihlašovací údaje z Active Directory pomocí stínových kopií svazků (VSS) a kopírováním souborů NTDS.dit, SAM a SYSTEM.

Google AdInline article slot

Kampaň STAC3725: útoky přes CitrixBleed 2

V tomto útoku útočníci zneužili zranitelnost v NetScaler, poté nainstalovali ScreenConnect pro vzdálený přístup a nasadili QEMU s Alpine Linux. Na rozdíl od první kampaně byly nástroje sestavovány ručně uvnitř VM. Patřily mezi ně:

  • Impacket – pro práci se síťovými protokoly Windows.
  • KrbRelayx – pro útoky na Kerberos.
  • BloodHound.py – pro analýzu Active Directory.
  • Metasploit – pro post-exploitation.

Cílem byla krádež přihlašovacích údajů, průzkum domény a příprava na exfiltraci dat přes FTP.

Co je důležité

  • Použití QEMU umožňuje vyděračům obejít většinu bezpečnostních nástrojů hostitele.
  • Payouts King je pravděpodobně spojen s bývalými členy BlackBasta, což potvrzují podobné metody sociálního inženýrství.
  • Ransomware používá AES-256 pro data a RSA-4096 pro klíče, stejně jako přerušované šifrování pro zrychlení.
  • Společnostem se doporučuje sledovat neautorizované instalace QEMU, podezřelé úlohy s právy SYSTEM a nestandardní SSH tunely.

Kontext a důsledky

Trend využívání virtualizace v útocích roste. Dříve podobné metody používaly skupiny 3AM, LoudMiner a v phishingové kampani CRON#TRAP. Pro ochranu před těmito hrozbami je nutné zavést monitorování na úrovni hypervizoru, omezit práva pro instalaci softwaru a používat behaviorální analýzu.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Číst dál