🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ransomware Payouts King está usando o emulador QEMU como um backdoor SSH reverso para executar máquinas virtuais ocultas em sistemas comprometidos e contornar a segurança do endpoint.
QEMU é um emulador de CPU de código aberto e uma ferramenta de virtualização de sistema que permite aos usuários executar sistemas operacionais em um computador host como máquinas virtuais (VMs).
Como as soluções de segurança no host não podem fazer varredura dentro das VMs, os invasores podem usá-las para executar cargas úteis, armazenar arquivos maliciosos e criar túneis secretos de acesso remoto por SSH.
Por essas razões, o QEMU foi abusado em operações anteriores por vários atores de ameaças, incluindo o grupo de ransomware 3AM, a criptomineração LoudMiner e o phishing ‘CRON#TRAP’.
Pesquisadores da empresa de segurança cibernética Sophos documentaram duas campanhas em que os invasores implantaram o QEMU como parte de seu arsenal e para coletar credenciais de domínio.
Uma campanha que a Sophos rastreia como STAC4713 foi observada pela primeira vez em novembro de 2025 e foi vinculada à operação de ransomware Payouts King.
O outro, rastreado como STAC3725, foi detectado em fevereiro deste ano e explora a vulnerabilidade CitrixBleed 2 (CVE‑2025‑5777) em instâncias NetScaler ADC e Gateway.
Executando VMs Alpine Linux
Os pesquisadores observam que os agentes de ameaças por trás da campanha STAC4713 estão associados ao grupo de ameaças GOLD ENCOUNTER, que é conhecido por ter como alvo hipervisores e criptografadores para ambientes VMware e ESXi.
De acordo com a Sophos, o ator malicioso cria uma tarefa agendada chamada ‘TPPMrofiler’ para iniciar uma VM QEMU oculta como SYSTEM.
Eles usam arquivos de disco virtual disfarçados de bancos de dados e arquivos DLL e configuram o encaminhamento de porta para fornecer acesso secreto ao host infectado por meio de um túnel SSH reverso.
A VM executa o Alpine Linux versão 3.22.0 que inclui ferramentas de ataque como AdaptixC2, Chisel, BusyBox e Rclone.
A Sophos observa que o acesso inicial foi obtido por meio de VPNs SonicWall expostas, enquanto a exploração da vulnerabilidade CVE-2025-26399 do SolarWinds Web Help Desk foi observada em ataques mais recentes.
Na fase pós-infecção, os agentes da ameaça usaram VSS (vssuirun.exe) para criar uma cópia de sombra e, em seguida, usaram o comando print sobre SMB para copiar as seções NTDS.dit, SAM e SYSTEM para diretórios temporários.
Os incidentes observados mais recentemente atribuídos ao ator da ameaça basearam-se em outros vetores de acesso inicial. Os pesquisadores dizem que, em um ataque em fevereiro, a GOLD ENCOUNTER usou uma Cisco SSL VPN exposta e, em março, eles se passaram por funcionários de TI e enganaram os funcionários do Microsoft Teams para que baixassem e instalassem o QuickAssist.
"Em ambos os casos, os agentes da ameaça usaram o binário ADNotificationManager.exe legítimo para carregar uma carga útil Havoc C2 (vcruntime140_1.dll) e, em seguida, aproveitaram o Rclone para exfiltrar dados para um local SFTP remoto" - Sophos
De acordo com um relatório da Zscaler esta semana, o Payouts King provavelmente está vinculado a ex-afiliados do BlackBasta, com base no uso de métodos de acesso inicial semelhantes, como bombardeio de spam, phishing do Microsoft Teams e abuso do Quick Assist.
A cepa emprega mecanismos pesados de ofuscação e anti-análise, estabelece persistência por meio de tarefas agendadas e encerra ferramentas de segurança usando chamadas de sistema de baixo nível.
O esquema de criptografia Payouts King usa AES-256 (CTR) com RSA-4096 com criptografia intermitente para arquivos maiores. As notas de resgate descartadas apontam as vítimas para sites de vazamento na dark web.
Portal de extorsão de ransomware Payouts KingFonte: BleepingComputer
A segunda campanha observada pela Sophos (STAC3725) está ativa desde fevereiro e explora a vulnerabilidade CitrixBleed 2 para obter acesso inicial aos ambientes de destino.
Depois de comprometer os dispositivos NetScaler, os invasores implantam um arquivo ZIP contendo um executável malicioso que instala um serviço chamado ‘AppMgmt’, cria um novo usuário administrador local (CtxAppVCOMService) e instala um cliente ScreenConnect para persistência.
O cliente ScreenConnect se conecta a um servidor de retransmissão remoto e estabelece uma sessão com privilégios de sistema e, em seguida, descarta e extrai um pacote QEMU que executa uma VM Alpine Linux oculta usando uma imagem de disco custom.qcow2.
Em vez de usar um kit de ferramentas pré-construído, os invasores instalam e compilam manualmente suas ferramentas, incluindo Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute e Metasploit, dentro da VM.
A atividade observada inclui coleta de credenciais, enumeração de nome de usuário Kerberos, reconhecimento do Active Directory e preparação de dados para exfiltração por meio de servidores FTP.
A Sophos recomenda que as organizações procurem instalações QEMU não autorizadas, tarefas agendadas suspeitas executadas com privilégios SYSTEM, encaminhamento incomum de portas SSH e túneis SSH de saída em portas não padrão.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando. Na Soma de Validação Autônoma
QEMU é um emulador de CPU de código aberto e uma ferramenta de virtualização de sistema que permite aos usuários executar sistemas operacionais em um computador host como máquinas virtuais (VMs).
Como as soluções de segurança no host não podem fazer varredura dentro das VMs, os invasores podem usá-las para executar cargas úteis, armazenar arquivos maliciosos e criar túneis secretos de acesso remoto por SSH.
Por essas razões, o QEMU foi abusado em operações anteriores por vários atores de ameaças, incluindo o grupo de ransomware 3AM, a criptomineração LoudMiner e o phishing ‘CRON#TRAP’.
Pesquisadores da empresa de segurança cibernética Sophos documentaram duas campanhas em que os invasores implantaram o QEMU como parte de seu arsenal e para coletar credenciais de domínio.
Uma campanha que a Sophos rastreia como STAC4713 foi observada pela primeira vez em novembro de 2025 e foi vinculada à operação de ransomware Payouts King.
O outro, rastreado como STAC3725, foi detectado em fevereiro deste ano e explora a vulnerabilidade CitrixBleed 2 (CVE‑2025‑5777) em instâncias NetScaler ADC e Gateway.
Executando VMs Alpine Linux
Os pesquisadores observam que os agentes de ameaças por trás da campanha STAC4713 estão associados ao grupo de ameaças GOLD ENCOUNTER, que é conhecido por ter como alvo hipervisores e criptografadores para ambientes VMware e ESXi.
De acordo com a Sophos, o ator malicioso cria uma tarefa agendada chamada ‘TPPMrofiler’ para iniciar uma VM QEMU oculta como SYSTEM.
Eles usam arquivos de disco virtual disfarçados de bancos de dados e arquivos DLL e configuram o encaminhamento de porta para fornecer acesso secreto ao host infectado por meio de um túnel SSH reverso.
A VM executa o Alpine Linux versão 3.22.0 que inclui ferramentas de ataque como AdaptixC2, Chisel, BusyBox e Rclone.
A Sophos observa que o acesso inicial foi obtido por meio de VPNs SonicWall expostas, enquanto a exploração da vulnerabilidade CVE-2025-26399 do SolarWinds Web Help Desk foi observada em ataques mais recentes.
Na fase pós-infecção, os agentes da ameaça usaram VSS (vssuirun.exe) para criar uma cópia de sombra e, em seguida, usaram o comando print sobre SMB para copiar as seções NTDS.dit, SAM e SYSTEM para diretórios temporários.
Os incidentes observados mais recentemente atribuídos ao ator da ameaça basearam-se em outros vetores de acesso inicial. Os pesquisadores dizem que, em um ataque em fevereiro, a GOLD ENCOUNTER usou uma Cisco SSL VPN exposta e, em março, eles se passaram por funcionários de TI e enganaram os funcionários do Microsoft Teams para que baixassem e instalassem o QuickAssist.
"Em ambos os casos, os agentes da ameaça usaram o binário ADNotificationManager.exe legítimo para carregar uma carga útil Havoc C2 (vcruntime140_1.dll) e, em seguida, aproveitaram o Rclone para exfiltrar dados para um local SFTP remoto" - Sophos
De acordo com um relatório da Zscaler esta semana, o Payouts King provavelmente está vinculado a ex-afiliados do BlackBasta, com base no uso de métodos de acesso inicial semelhantes, como bombardeio de spam, phishing do Microsoft Teams e abuso do Quick Assist.
A cepa emprega mecanismos pesados de ofuscação e anti-análise, estabelece persistência por meio de tarefas agendadas e encerra ferramentas de segurança usando chamadas de sistema de baixo nível.
O esquema de criptografia Payouts King usa AES-256 (CTR) com RSA-4096 com criptografia intermitente para arquivos maiores. As notas de resgate descartadas apontam as vítimas para sites de vazamento na dark web.
Portal de extorsão de ransomware Payouts KingFonte: BleepingComputer
A segunda campanha observada pela Sophos (STAC3725) está ativa desde fevereiro e explora a vulnerabilidade CitrixBleed 2 para obter acesso inicial aos ambientes de destino.
Depois de comprometer os dispositivos NetScaler, os invasores implantam um arquivo ZIP contendo um executável malicioso que instala um serviço chamado ‘AppMgmt’, cria um novo usuário administrador local (CtxAppVCOMService) e instala um cliente ScreenConnect para persistência.
O cliente ScreenConnect se conecta a um servidor de retransmissão remoto e estabelece uma sessão com privilégios de sistema e, em seguida, descarta e extrai um pacote QEMU que executa uma VM Alpine Linux oculta usando uma imagem de disco custom.qcow2.
Em vez de usar um kit de ferramentas pré-construído, os invasores instalam e compilam manualmente suas ferramentas, incluindo Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute e Metasploit, dentro da VM.
A atividade observada inclui coleta de credenciais, enumeração de nome de usuário Kerberos, reconhecimento do Active Directory e preparação de dados para exfiltração por meio de servidores FTP.
A Sophos recomenda que as organizações procurem instalações QEMU não autorizadas, tarefas agendadas suspeitas executadas com privilégios SYSTEM, encaminhamento incomum de portas SSH e túneis SSH de saída em portas não padrão.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando. Na Soma de Validação Autônoma
#samirnews #samir #news #boletimtec #o #ransomware #payouts #king #usa #vms #qemu #para #contornar #a #segurança #do #endpoint
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário