勒索软件团伙利用基于QEMU的虚拟机隐藏恶意活动
勒索软件团伙越来越多地使用虚拟化技术来隐藏其行为,使其不被安全系统发现。Payouts King勒索软件的操作者及其他网络犯罪团伙在受感染主机上部署隐藏的虚拟机,从而绕过杀毒软件和EDR解决方案。
QEMU攻击的工作原理
攻击者将开源QEMU虚拟机监控程序注入目标系统。在虚拟机内部,运行一个轻量级操作系统(如Alpine Linux),不会在宿主机上留下痕迹。所有恶意工具,包括远程访问、数据窃取和侦察工具,都在这个隔离环境中运行,对宿主机操作系统的监控工具保持不可见。
这种方法为攻击者提供了几个优势:
- 恶意文件不会被宿主机杀毒软件扫描。
- 从虚拟机发起的网络连接看起来是合法的QEMU流量。
- 可以在虚拟机内运行任何工具,而无需担心被检测。
两个攻击活动:Payouts King和利用Citrix漏洞的攻击
Sophos研究人员记录了两起使用该技术的案例。第一起案例(STAC4713)中,与Payouts King勒索软件相关的GOLD ENCOUNTER团伙使用QEMU实现网络持久化。第二起案例(STAC3725)基于利用NetScaler设备中的CitrixBleed 2漏洞(CVE-2025-5777)。
攻击活动STAC4713:Payouts King
操作者创建了一个名为TPMProfiler的计划任务,以SYSTEM权限启动QEMU。虚拟磁盘被伪装成数据库文件或DLL文件。虚拟机内部运行Alpine Linux,并预装了以下工具:
- AdaptixC2 — 用于命令通道管理。
- Chisel — 用于流量代理。
- BusyBox — 用于执行系统命令。
- Rclone — 用于数据窃取。
初始访问是通过SonicWall VPN或SolarWinds Web Help Desk(CVE-2025-26399)的漏洞实现的。入侵后,攻击者利用卷影复制(VSS)从Active Directory中提取凭据,并复制NTDS.dit、SAM和SYSTEM文件。
攻击活动STAC3725:利用CitrixBleed 2的攻击
在此攻击中,攻击者利用NetScaler中的漏洞,然后安装ScreenConnect进行远程访问,并部署QEMU和Alpine Linux。与第一起攻击活动不同,工具是在虚拟机内手动组装的。这些工具包括:
- Impacket — 用于处理Windows网络协议。
- KrbRelayx — 用于Kerberos攻击。
- BloodHound.py — 用于Active Directory分析。
- Metasploit — 用于后渗透。
目标是窃取凭据、进行域侦察,并准备通过FTP进行数据外泄。
关键要点
- 使用QEMU使勒索软件能够绕过大多数宿主机安全措施。
- Payouts King可能与前BlackBasta成员有关联,类似的社会工程方法证明了这一点。
- 该勒索软件使用AES-256加密数据,RSA-4096加密密钥,并采用间歇加密以提高速度。
- 建议企业监控未经授权的QEMU安装、可疑的SYSTEM级任务以及异常的SSH隧道。
背景与影响
在攻击中使用虚拟化的趋势正在增长。此前,3AM、LoudMiner团伙以及CRON#TRAP钓鱼攻击活动也使用了类似方法。为防御此类威胁,组织应实施虚拟机监控程序级别的监控、限制软件安装权限,并使用行为分析。
— Editorial Team
暂无评论。