Powrót do strony głównej

Wymusiciele ukrywają ataki przez QEMU: jak się chronić

W artykule analizowana jest nowa technika wymusicieli, używających maszyn wirtualnych QEMU do ukrywania złośliwej aktywności. Rozpatrywane są kampanie Payouts King i ataki przez podatność CitrixBleed 2, a także podawane są zalecenia dotyczące wykrywania i ochrony.

Wymusiciele chowają się w maszynach wirtualnych: nowe zagrożenie QEMU
Advertisement 728x90

Wymusacze maskują złośliwą aktywność za pomocą maszyn wirtualnych opartych na QEMU

Grupacje wymusaczy coraz częściej wykorzystują wirtualizację do ukrywania swoich działań przed systemami ochrony. Operatorzy ransomware Payouts King i innych cyberprzestępczych grup wdrażają ukryte maszyny wirtualne na skompromitowanych hostach, co pozwala im omijać antywirusy i rozwiązania EDR.

Jak działa atak z użyciem QEMU

Atakujący wprowadzają do docelowego systemu hiperwizor QEMU o otwartym kodzie źródłowym. Wewnątrz maszyny wirtualnej uruchamiany jest lekki system operacyjny, np. Alpine Linux, który nie pozostawia śladów na hoście. Wszystkie złośliwe narzędzia, w tym zdalny dostęp, kradzież danych i rozpoznanie, działają w tym izolowanym środowisku, pozostając niewidoczne dla narzędzi monitorujących system hosta.

Takie podejście daje atakującym szereg korzyści:

Google AdInline article slot
  • Złośliwe pliki nie są skanowane przez antywirus hosta.
  • Połączenia sieciowe inicjowane z maszyny wirtualnej wyglądają jak legalny ruch QEMU.
  • Wewnątrz VM można uruchamiać dowolne narzędzia bez ryzyka wykrycia.

Dwie kampanie: Payouts King i ataki przez podatności Citrix

Badacze Sophos udokumentowali dwa incydenty, w których zastosowano tę technikę. W pierwszym przypadku (STAC4713) grupa GOLD ENCOUNTER, powiązana z ransomware Payouts King, użyła QEMU do umocnienia się w sieci. Drugi przypadek (STAC3725) opierał się na eksploatacji podatności CitrixBleed 2 (CVE-2025-5777) w urządzeniach NetScaler.

Kampania STAC4713: Payouts King

Operatorzy utworzyli zaplanowane zadanie TPMProfiler, które uruchamiało QEMU z uprawnieniami SYSTEM. Dyski wirtualne maskowano jako pliki baz danych lub DLL. Wewnątrz VM działał Alpine Linux z preinstalowanymi narzędziami:

  • AdaptixC2 – do zarządzania kanałem dowodzenia.
  • Chisel – do proxy ruchu.
  • BusyBox – do wykonywania poleceń systemowych.
  • Rclone – do kradzieży danych.

Początkowy dostęp uzyskiwano przez podatności w SonicWall VPN lub SolarWinds Web Help Desk (CVE-2025-26399). Po penetracji atakujący wyodrębniali dane uwierzytelniające z Active Directory, używając kopii woluminów w tle (VSS) i kopiując pliki NTDS.dit, SAM i SYSTEM.

Google AdInline article slot

Kampania STAC3725: ataki przez CitrixBleed 2

W tym ataku atakujący eksploatowali podatność w NetScaler, następnie instalowali ScreenConnect do zdalnego dostępu i wdrażali QEMU z Alpine Linux. W przeciwieństwie do pierwszej kampanii, narzędzia były zbierane ręcznie wewnątrz VM. Wśród nich znalazły się:

  • Impacket – do pracy z protokołami sieciowymi Windows.
  • KrbRelayx – do ataków na Kerberos.
  • BloodHound.py – do analizy Active Directory.
  • Metasploit – do posteksploatacji.

Celem była kradzież danych uwierzytelniających, rozpoznanie w domenie i przygotowanie do wycieku danych przez FTP.

Co jest ważne

  • Użycie QEMU pozwala wymusaczom omijać większość zabezpieczeń hosta.
  • Payouts King jest prawdopodobnie powiązany z byłymi członkami BlackBasta, co potwierdzają podobne metody socjotechniki.
  • Ransomware używa AES-256 do danych i RSA-4096 do kluczy, a także szyfrowania przerywanego w celu przyspieszenia.
  • Firmom zaleca się monitorowanie nieautoryzowanych instalacji QEMU, podejrzanych zadań z uprawnieniami SYSTEM i niestandardowych tuneli SSH.

Kontekst i konsekwencje

Trend wykorzystania wirtualizacji w atakach rośnie. Wcześniej podobne metody stosowały grupacje 3AM, LoudMiner oraz w kampanii phishingowej CRON#TRAP. Aby chronić się przed takimi zagrożeniami, należy wdrożyć monitoring na poziomie hiperwizora, ograniczyć uprawnienia do instalacji oprogramowania i stosować analizę behawioralną.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Czytaj dalej