Ransomware

Шифровальщик Payouts King использует виртуальные машины QEMU для обхода защиты конечных точек

Duty News 0 1 день назад

Обзор угрозы

Вредоносная программа-шифровальщик Payouts King применяет эмулятор QEMU в качестве обратного SSH-бэкдора. Это позволяет злоумышленникам запускать скрытые виртуальные машины (VM) на заражённых системах и обходить средства защиты конечных точек.

QEMU — это инструмент с открытым исходным кодом для эмуляции процессоров и виртуализации, который позволяет запускать операционные системы в виде виртуальных машин на хост-компьютере.

Поскольку защитные решения на хосте не могут сканировать содержимое виртуальных машин, злоумышленники используют их для:

выполнения вредоносных нагрузок
хранения вредоносных файлов
создания скрытых каналов удалённого доступа через SSH

Предыстория использования QEMU в атаках

QEMU уже применялся в различных кибератаках, включая:

группировку вымогателей 3AM
криптомайнинг-кампанию LoudMiner
фишинговую операцию CRON#TRAP

Исследования Sophos

Специалисты компании Sophos выявили две кампании атак, в которых QEMU использовался как инструмент злоумышленников, в том числе для кражи доменных учётных данных.

Кампания 1 — STAC4713
Обнаружена: ноябрь 2025 года
Связана с: Payouts King ransomware

Кампания 2 — STAC3725
Обнаружена: февраль 2026 года
Использует уязвимость: CitrixBleed 2 (CVE-2025-5777)
Цели: устройства NetScaler ADC и Gateway

Запуск виртуальных машин Alpine Linux

Атака STAC4713 связана с группой угроз GOLD ENCOUNTER, известной атаками на гипервизоры и среды VMware/ESXi.

Механизм атаки:

создаётся запланированная задача TPMProfiler
запускается скрытая VM QEMU с правами SYSTEM
используются виртуальные диски, маскирующиеся под базы данных и DLL-файлы
настраивается проброс портов для скрытого доступа через SSH

Внутри виртуальной машины:
Используется Alpine Linux 3.22.0 с инструментами:

AdaptixC2
Chisel
BusyBox
Rclone

Векторы первоначального доступа

Зафиксированы различные способы проникновения:

уязвимые VPN SonicWall
эксплуатация уязвимости SolarWinds Web Help Desk (CVE-2025-26399)
VPN Cisco SSL
социальная инженерия через Microsoft Teams
злоупотребление инструментом Quick Assist

Действия после заражения

После проникновения злоумышленники:

создают теневую копию системы (через VSS)
копируют критические файлы:
- NTDS.dit
- SAM
- SYSTEM
используют SMB и временные директории

Также применяются:

ADNotificationManager.exe для загрузки вредоносной DLL (Havoc C2)
Rclone для вывода данных на удалённые SFTP-серверы

Связь с BlackBasta

По данным Zscaler, Payouts King, вероятно, связан с бывшими участниками группы BlackBasta на основании схожих методов атак:

spam bombing
фишинг через Microsoft Teams
злоупотребление Quick Assist

Методы шифрования и уклонения

Payouts King использует:

AES-256 (CTR) + RSA-4096
частичное шифрование больших файлов
обфускацию и анти-анализ
закрепление через планировщик задач
отключение защитных инструментов через низкоуровневые системные вызовы

Записки с требованием выкупа направляют жертв на сайты утечек в даркнете.

Вторая кампания (STAC3725)

После компрометации устройств NetScaler:

Действия злоумышленников:

разворачивается ZIP-архив с вредоносным ПО
устанавливается служба AppMgmt
создаётся администратор CtxAppVCOMService
устанавливается клиент ScreenConnect

Дальнейшие действия:

установка QEMU и запуск скрытой VM
использование кастомного диска custom.qcow2

Инструменты внутри VM

В отличие от первой кампании, здесь инструменты устанавливаются вручную:

Impacket
KrbRelayx
Coercer
BloodHound.py
NetExec
Kerbrute
Metasploit

Зафиксированная активность

сбор учётных данных
перебор имён пользователей Kerberos
разведка Active Directory
подготовка данных к эксфильтрации через FTP