Wymusacze maskują złośliwą aktywność za pomocą maszyn wirtualnych opartych na QEMU
Grupacje wymusaczy coraz częściej wykorzystują wirtualizację do ukrywania swoich działań przed systemami ochrony. Operatorzy ransomware Payouts King i innych cyberprzestępczych grup wdrażają ukryte maszyny wirtualne na skompromitowanych hostach, co pozwala im omijać antywirusy i rozwiązania EDR.
Jak działa atak z użyciem QEMU
Atakujący wprowadzają do docelowego systemu hiperwizor QEMU o otwartym kodzie źródłowym. Wewnątrz maszyny wirtualnej uruchamiany jest lekki system operacyjny, np. Alpine Linux, który nie pozostawia śladów na hoście. Wszystkie złośliwe narzędzia, w tym zdalny dostęp, kradzież danych i rozpoznanie, działają w tym izolowanym środowisku, pozostając niewidoczne dla narzędzi monitorujących system hosta.
Takie podejście daje atakującym szereg korzyści:
- Złośliwe pliki nie są skanowane przez antywirus hosta.
- Połączenia sieciowe inicjowane z maszyny wirtualnej wyglądają jak legalny ruch QEMU.
- Wewnątrz VM można uruchamiać dowolne narzędzia bez ryzyka wykrycia.
Dwie kampanie: Payouts King i ataki przez podatności Citrix
Badacze Sophos udokumentowali dwa incydenty, w których zastosowano tę technikę. W pierwszym przypadku (STAC4713) grupa GOLD ENCOUNTER, powiązana z ransomware Payouts King, użyła QEMU do umocnienia się w sieci. Drugi przypadek (STAC3725) opierał się na eksploatacji podatności CitrixBleed 2 (CVE-2025-5777) w urządzeniach NetScaler.
Kampania STAC4713: Payouts King
Operatorzy utworzyli zaplanowane zadanie TPMProfiler, które uruchamiało QEMU z uprawnieniami SYSTEM. Dyski wirtualne maskowano jako pliki baz danych lub DLL. Wewnątrz VM działał Alpine Linux z preinstalowanymi narzędziami:
- AdaptixC2 – do zarządzania kanałem dowodzenia.
- Chisel – do proxy ruchu.
- BusyBox – do wykonywania poleceń systemowych.
- Rclone – do kradzieży danych.
Początkowy dostęp uzyskiwano przez podatności w SonicWall VPN lub SolarWinds Web Help Desk (CVE-2025-26399). Po penetracji atakujący wyodrębniali dane uwierzytelniające z Active Directory, używając kopii woluminów w tle (VSS) i kopiując pliki NTDS.dit, SAM i SYSTEM.
Kampania STAC3725: ataki przez CitrixBleed 2
W tym ataku atakujący eksploatowali podatność w NetScaler, następnie instalowali ScreenConnect do zdalnego dostępu i wdrażali QEMU z Alpine Linux. W przeciwieństwie do pierwszej kampanii, narzędzia były zbierane ręcznie wewnątrz VM. Wśród nich znalazły się:
- Impacket – do pracy z protokołami sieciowymi Windows.
- KrbRelayx – do ataków na Kerberos.
- BloodHound.py – do analizy Active Directory.
- Metasploit – do posteksploatacji.
Celem była kradzież danych uwierzytelniających, rozpoznanie w domenie i przygotowanie do wycieku danych przez FTP.
Co jest ważne
- Użycie QEMU pozwala wymusaczom omijać większość zabezpieczeń hosta.
- Payouts King jest prawdopodobnie powiązany z byłymi członkami BlackBasta, co potwierdzają podobne metody socjotechniki.
- Ransomware używa AES-256 do danych i RSA-4096 do kluczy, a także szyfrowania przerywanego w celu przyspieszenia.
- Firmom zaleca się monitorowanie nieautoryzowanych instalacji QEMU, podejrzanych zadań z uprawnieniami SYSTEM i niestandardowych tuneli SSH.
Kontekst i konsekwencje
Trend wykorzystania wirtualizacji w atakach rośnie. Wcześniej podobne metody stosowały grupacje 3AM, LoudMiner oraz w kampanii phishingowej CRON#TRAP. Aby chronić się przed takimi zagrożeniami, należy wdrożyć monitoring na poziomie hiperwizora, ograniczyć uprawnienia do instalacji oprogramowania i stosować analizę behawioralną.
— Editorial Team
Brak komentarzy.