Программа-вымогатель Payouts King использует эмулятор QEMU в качестве обратного SSH-бэкдора для запуска скрытых виртуальных машин на скомпрометированных системах и обхода защиты конечных точек.
QEMU — это инструмент с открытым исходным кодом для эмуляции ЦП и системной виртуализации, который позволяет пользователям запускать операционные системы на хост-компьютере в виде виртуальных машин (ВМ).
Поскольку решения безопасности на хосте не могут сканировать содержимое ВМ, злоумышленники могут использовать их для выполнения полезных нагрузок, хранения вредоносных файлов и создания скрытых туннелей удаленного доступа через SSH.
По этим причинам QEMU злоупотреблялся в прошлых операциях различными угрожающими группами, включая группу программ-вымогателей 3AM, майнер криптовалюты LoudMiner и фишинговые атаки ‘CRON#TRAP’.
Исследователи из компании Sophos задокументировали две кампании, в которых злоумышленники развертывали QEMU как часть своего арсенала и для сбора учетных данных домена.
Одна кампания, которую Sophos отслеживает как STAC4713, была впервые замечена в ноябре 2025 года и связана с операцией программы-вымогателя Payouts King.
Другая, отслеживаемая как STAC3725, была замечена в феврале этого года и использует уязвимость CitrixBleed 2 (CVE‑2025‑5777) в экземплярах NetScaler ADC и Gateway.
Запуск ВМ Alpine Linux
Исследователи отмечают, что злоумышленники, стоящие за кампанией STAC4713, связаны с группой угроз GOLD ENCOUNTER, которая известна тем, что нацеливается на гипервизоры и шифровальщики для сред VMware и ESXi.
По данным Sophos, злоумышленник создает запланированную задачу с именем ‘TPMProfiler’ для запуска скрытой ВМ QEMU с правами SYSTEM.
Они используют файлы виртуальных дисков, замаскированные под базы данных и DLL-файлы, и настраивают перенаправление портов для обеспечения скрытого доступа к зараженному хосту через обратный SSH-туннель.
В ВМ работает Alpine Linux версии 3.22.0, которая включает инструменты злоумышленников, такие как AdaptixC2, Chisel, BusyBox и Rclone.
Sophos отмечает, что первоначальный доступ был получен через открытые VPN-сервисы SonicWall, в то время как в более недавних атаках наблюдалась эксплуатация уязвимости SolarWinds Web Help Desk CVE-2025-26399.
На этапе после заражения злоумышленники использовали VSS (vssuirun.exe) для создания теневой копии, а затем использовали команду print через SMB для копирования кустов NTDS.dit, SAM и SYSTEM во временные каталоги.
В более недавних инцидентах, приписываемых злоумышленнику, использовались другие векторы первоначального доступа. Исследователи сообщают, что в атаке в феврале GOLD ENCOUNTER использовал открытый Cisco SSL VPN, а в марте они выдавали себя за ИТ-персонал и обманом заставляли сотрудников через Microsoft Teams загружать и устанавливать QuickAssist.
“В обоих случаях злоумышленники использовали легитимный бинарный файл ADNotificationManager.exe для боковой загрузки полезной нагрузки Havoc C2 (vcruntime140_1.dll), а затем задействовали Rclone для эксфильтрации данных на удаленное SFTP-расположение” – Sophos
Согласно отчету Zscaler на этой неделе, Payouts King, вероятно, связан с бывшими аффилированными лицами BlackBasta, исходя из использования схожих методов первоначального доступа, таких как спам-бомбардировки, фишинг через Microsoft Teams и злоупотребление Quick Assist.
Штамм использует сильное обфускацию и механизмы антианализа, устанавливает постоянство через запланированные задачи и завершает работу инструментов безопасности с помощью низкоуровневых системных вызовов.
Схема шифрования Payouts King использует AES-256 (CTR) с RSA-4096 с прерывистым шифрованием для больших файлов. Сброшенные записки с требованием выкупа указывают жертвам на сайты утечек в даркнете.
Вторая кампания, которую наблюдала Sophos (STAC3725), активна с февраля и использует уязвимость CitrixBleed 2 для получения первоначального доступа к целевым средам.
После компрометации устройств NetScaler злоумышленники развертывают ZIP-архив, содержащий исполняемый файл с вредоносным ПО, который устанавливает службу с именем ‘AppMgmt’, создает нового локального администратора (CtxAppVCOMService) и устанавливает клиент ScreenConnect для обеспечения постоянства.
Клиент ScreenConnect подключается к удаленному ретрансляционному серверу и устанавливает сеанс с привилегиями системы, затем сбрасывает и извлекает пакет QEMU, который запускает скрытую ВМ Alpine Linux с использованием образа диска custom.qcow2.
Вместо использования готового набора инструментов злоумышленники вручную устанавливают и компилируют свои инструменты, включая Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute и Meta*sploit, внутри ВМ.
Наблюдаемая активность включает сбор учетных данных, перечисление имен пользователей Kerberos, разведку Active Directory и подготовку данных для эксфильтрации через FTP-серверы.
Sophos рекомендует организациям искать несанкционированные установки QEMU, подозрительные запланированные задачи, выполняемые с привилегиями SYSTEM, необычное перенаправление портов SSH и исходящие SSH-туннели по нестандартным портам.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
