Поделиться
Хакеры научились использовать виртуальные машины QEMU для запуска троянов-шифровальщиков
Злоумышленники используют QEMU для развёртывания вредоносных виртуальных машин, которые затем используются для запуска шифровальщиков и установки удалённых соединений.
Невидимое зло
Исследователи фирмы Sophos выявили сразу две вредоносные киберкампании, операторы которых используют эмуляторы QEMU для обхода защиты на конечных точках.
QEMU - это многофункциональный опенсорсный инструмент эмуляции и виртуализации, который позволяет запускать разворачивать виртуальные машины на заданных системах. Злоумышленники в последние годы стали активно использовать его в атаках, поскольку защитные средства хоста обычно не способны просканировать содержимое виртуальных систем.
В прошлом использованием QEMU отметились вымогательская группировка 3AM, распространители криптомайнера LoudMiner и фишинговая группировка CRON#TRAP.
Злоумышленники использовали QEMU для хранения и запуска вредоносных программ, а также для создания скрытых SSH-туннелей к хостам.
«Развёртывание виртуальных машин на атакуемых устройствах - сравнительно редко встречающийся, но эффективный метод пост-эксплуатации, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Однако на первоначальном этапе вектор проникновения, как правило, никакой экзотики не подразумевает: это либо эксплуатация широко известных уязвимостей, либо фишинг и социальная инженерия. Ни то, ни другое не требует каких-либо революционных подходов к защите, только внимательность и своевременное устранение программных уязвимостей в периметре».
Первая из обнаруженных исследователями кампаний, связанная с распространением шифровальщика Payouts King, началась в ноябре 2025 года; она получила условное наименование STAC4713.
Вторая, STAC3725, началась в феврале этого года; её операторы эксплуатируют печально знаменитую уязвимость CitrixBleed 2 в продуктах Citrix NetScaler ADC и Gateway.
Старые знакомые
STAC4713 эксперты Sophos увязали с кластером угроз GOLD ENCOUNTER, которая активно атакует гипервизоры VMware и среды ESXi.
Атаки начинаются либо с эксплуатации незащищённых VPN-устройств SonicWall, либо, в более недавних атаках, с использования уязвимости CVE-2025-26399 в SolarWinds Web Help Desk.
Получив доступ в систему, они создают отложенную задачу TPMProfiler, с помощью которой на хосте создаётся виртуальная машина QEMU; причём она сразу же снабжена максимальными привилегиями.
Файлы виртуального диска замаскированы под базы данных и DLL-библиотеки. На хосте также задаётся перенаправление портов, чтобы обеспечить скрытый доступ к скомпрометированному хосту через SSH-туннель.
Сама по себе виртуальная машина работает под управлением Alpine Linux 3.22.0 с добавлением инструментов для кибератак - AdaptixC2, Chisel, BusyBox и Rclone.
На последующем этапе злоумышленники используют VSS (vssuirun.exe) для создания теневой копии, затем копируют логические группы ключей системного реестра NTDS.dit, SAM и SYSTEM во временные каталоги.
Кроме того, в последнее время GOLD ENCOUNTER в феврале начали эксплуатировать доступные из Сети Cisco SSL VPN, а в марте - обманом заставляли пользователей Microsoft Teams устанавливать себе QuickAssist - средство удалённого доступа.
«Во всех случаях атакующие использовали легитимный исполняемый файл ADNotificationManager.exe для побочной подгрузки вредоносного компонента Havic C2 (vcruntime140_1.dll), после чего, с помощью Rclone, выводили данные на удалённый узел SFTP», - написали исследователи Sophos.
Как отмечает издание Bleeping Computer, ссылаясь на исследование фирмы Zscaler, Payouts King, вероятнее всего, связан с кем-то из бывших аффилиатов («партнёров») хакерской группировки BlackBasta. Этот вывод они делают на основании приёмов получения первоначального доступа, используемых PK; в частности, бомбардировки спамом, фишинга в Microsoft Teams и эксплуатации Quick Assist.
Используемый ими вредонос характеризуется мощной обфускацией и использованием ряда механизмов защиты от анализа. Постоянство присутствия обеспечивается через отложенные задачи. Вредонос также выводит из строя системные средства безопасности с помощью низкоуровневых системных вызовов.
Шифровальщик Payouts King использует алгоритмы AES-256 (CTR) и RSA-4096; большие файлы шифруются порциями.
По окончанию процедуры шифрования злоумышленники оставляют в системе «визитную карточку» со ссылками на свои сайты утечек в даркнете.
С другого фланга
Вторая кампания, STAC3725, как уже сказано, начинается с компрометации устройств Citrix NetScaler. После этого злоумышленники внедряют в систему ZIP-архиве с вредоносным исполняемым файлом, который, в свою очередь, устанавливает службу AppMgmt, клиент ScreenConnect для обеспечения постоянства присутствия и создаёт нового локального пользователя с административными полномочиями (CtxAppVCOMService).
Клиентское приложение ScreenConnect подключается к удалённому серверу переадресации и создаёт сессию с системными привилегиями; а затем уже загружает и разворачивает эмулятор QEMU, всё так же, со скрытой виртуальной машиной Alpine Linux. Образ диска обозначен как custom.qcow2.
Вместо применения предустановленного инструментария злоумышленники вручную устанавливают и компилируют свои средства компрометации прямо в виртуальной машине. Они включают: Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute и Metasploit.
Исследователи успели зафиксировать сбор учётных данных, инвентаризацию пользовательских имён Kerberos, разведку сред Active Directory, а также подготовку данных к выводу на сторонние FTP-серверы.
Sophos рекомендует организациям проверить свою инфраструктуру на предмет появления там несанкционированных виртуальных машин QEMU, подозрительных запланированных задач, запущенных с максимальными привилегиями, а также необычной переадресации SSH-портов и исходящих SSH-туннелей.
Поделиться
Короткая ссылка
