Les groupes de ransomware masquent leurs activités malveillantes avec des machines virtuelles basées sur QEMU
Les groupes de ransomware utilisent de plus en plus la virtualisation pour dissimuler leurs actions aux systèmes de sécurité. Les opérateurs du ransomware Payouts King et d'autres groupes cybercriminels déploient des machines virtuelles cachées sur des hôtes compromis, leur permettant de contourner les solutions antivirus et EDR.
Comment fonctionne l'attaque QEMU
Les attaquants injectent l'hyperviseur open-source QEMU dans le système cible. À l'intérieur de la machine virtuelle, un système d'exploitation léger comme Alpine Linux s'exécute, ne laissant aucune trace sur l'hôte. Tous les outils malveillants, y compris l'accès à distance, le vol de données et les utilitaires de reconnaissance, opèrent dans cet environnement isolé, restant invisibles pour les outils de surveillance du système d'exploitation hôte.
Cette approche offre plusieurs avantages aux attaquants :
- Les fichiers malveillants ne sont pas scannés par l'antivirus de l'hôte.
- Les connexions réseau initiées depuis la VM apparaissent comme du trafic QEMU légitime.
- Tous les outils peuvent être exécutés à l'intérieur de la VM sans risque de détection.
Deux campagnes : Payouts King et attaques via les vulnérabilités Citrix
Les chercheurs de Sophos ont documenté deux incidents où cette technique a été utilisée. Dans le premier cas (STAC4713), le groupe GOLD ENCOUNTER, lié au ransomware Payouts King, a utilisé QEMU pour la persistance réseau. Le second cas (STAC3725) était basé sur l'exploitation de la vulnérabilité CitrixBleed 2 (CVE-2025-5777) dans les appareils NetScaler.
Campagne STAC4713 : Payouts King
Les opérateurs ont créé une tâche planifiée nommée TPMProfiler qui lançait QEMU avec les privilèges SYSTEM. Les disques virtuels étaient déguisés en fichiers de base de données ou en DLL. À l'intérieur de la VM, Alpine Linux s'exécutait avec des outils préinstallés :
- AdaptixC2 — pour la gestion des canaux de commande.
- Chisel — pour le proxy de trafic.
- BusyBox — pour exécuter des commandes système.
- Rclone — pour le vol de données.
L'accès initial a été obtenu via des vulnérabilités dans SonicWall VPN ou SolarWinds Web Help Desk (CVE-2025-26399). Après la pénétration, les attaquants ont extrait des identifiants d'Active Directory en utilisant Volume Shadow Copy (VSS) et en copiant les fichiers NTDS.dit, SAM et SYSTEM.
Campagne STAC3725 : Attaques via CitrixBleed 2
Dans cette attaque, les attaquants ont exploité une vulnérabilité dans NetScaler, puis installé ScreenConnect pour l'accès à distance et déployé QEMU avec Alpine Linux. Contrairement à la première campagne, les outils ont été assemblés manuellement à l'intérieur de la VM. Ceux-ci comprenaient :
- Impacket — pour travailler avec les protocoles réseau Windows.
- KrbRelayx — pour les attaques Kerberos.
- BloodHound.py — pour l'analyse d'Active Directory.
- Metasploit — pour la post-exploitation.
L'objectif était le vol d'identifiants, la reconnaissance du domaine et la préparation à l'exfiltration de données via FTP.
Points clés à retenir
- L'utilisation de QEMU permet aux ransomwares de contourner la plupart des mesures de sécurité de l'hôte.
- Payouts King est probablement lié à d'anciens membres de BlackBasta, comme en témoignent des méthodes d'ingénierie sociale similaires.
- Le ransomware utilise AES-256 pour les données et RSA-4096 pour les clés, ainsi qu'un chiffrement intermittent pour la rapidité.
- Il est conseillé aux entreprises de surveiller les installations non autorisées de QEMU, les tâches SYSTEM suspectes et les tunnels SSH inhabituels.
Contexte et implications
La tendance à utiliser la virtualisation dans les attaques est croissante. Auparavant, des méthodes similaires étaient utilisées par les groupes 3AM, LoudMiner et dans la campagne de phishing CRON#TRAP. Pour se défendre contre ces menaces, les organisations devraient mettre en œuvre une surveillance au niveau de l'hyperviseur, restreindre les droits d'installation de logiciels et utiliser l'analyse comportementale.
— Editorial Team
Aucun commentaire pour le moment.