複数ライセンス割引見積
脅威データベース ランサムウェア 支払いキングランサムウェア

支払いキングランサムウェア

ランサムウェアMezoまで
翻訳内容:

Payouts Kingランサムウェアは、QEMUを逆SSHバックドアとして利用することで、非常に巧妙な回避手法を導入しました。この手法により、攻撃者は侵害したシステム上に隠し仮想マシン(VM)を直接展開することができ、従来のエンドポイントセキュリティ対策を効果的に回避できます。

オープンソースのCPUエミュレータおよび仮想化プラットフォームであるQEMUは、オペレーティングシステムをホストデバイス上で仮想マシンとして実行することを可能にします。ほとんどのセキュリティソリューションはこれらの仮想マシン内部の活動を監視できないため、攻撃者はこの盲点を悪用して悪意のあるペイロードを実行したり、有害なデータを保存したり、SSH接続を介して秘密裏にリモートアクセス用のトンネルを確立したりします。

この戦術は全く新しいものではない。QEMUの同様の悪用は、3AMランサムウェアグループ、LoudMiner、CRON#TRAPフィッシングキャンペーンなどのグループに関連する作戦でも確認されている。

STAC4713キャンペーンの内幕

セキュリティ研究者らは、QEMUの展開を伴う2つの主要な攻撃キャンペーンを特定しており、そのうちの1つはSTAC4713として追跡され、2025年11月に初めて確認された。このキャンペーンは、Payouts Kingランサムウェア攻撃と直接関連付けられており、GOLD ENCOUNTERグループによるものとされている。

GOLD ENCOUNTERは、ハイパーバイザーを標的とし、VMwareおよびESXi環境に暗号化ツールをデプロイすることで知られています。このキャンペーンにおいて、攻撃者はTPMProfilerという名前のスケジュールタスクを作成することで、永続性と隠蔽性を確立します。このタスクは、SYSTEMレベルの権限を持つ隠しQEMU仮想マシンを起動します。

検出を回避するため、悪意のある仮想ディスクファイルは正規のデータベースファイルやDLLファイルに偽装されています。さらに、リバースSSHトンネルを介して感染システムへの秘密裏のアクセスを可能にするために、ポートフォワーディングが設定されています。展開された仮想マシンはAlpine Linux 3.22.0を実行しており、AdaptixC2、Chisel、BusyBox、Rcloneなどの攻撃者用ユーティリティツールキットが含まれています。

初期アクセスおよび利用経路

攻撃者は、標的環境に応じて複数の侵入経路を利用するなど、初期アクセス権を取得する際に柔軟性を発揮している。初期の事例では、SonicWall VPNシステムが脆弱性を悪用していたが、最近の攻撃ではCVE-2025-26399の脆弱性が悪用されている。

その後の攻撃キャンペーンで確認されたその他の侵入手法には、以下のようなものがある。

  • Cisco SSL VPNサービスが侵害された
  • Microsoft Teams を利用したソーシャルエンジニアリング。攻撃者は IT 担当者になりすます。
  • Quick Assist を介した悪意のあるペイロードの配信

これらの多様な手法は、技術的な悪用と人間を標的とした欺瞞が融合したものであることを浮き彫りにしている。

侵害後の運用とデータ窃盗

ネットワークに侵入した攻撃者は、高度なポストエクスプロイト技術を用いて機密データを抽出し、支配権を拡大します。このプロセスでは、通常、VSS(vssuirun.exe)を使用してシャドウコピーを作成し、その後SMBプロトコルを利用してNTDS.dit、SAM、SYSTEMレジストリハイブなどの重要なシステムファイルを一時ディレクトリにコピーします。

後の段階では、ADNotificationManager.exeなどの正規のバイナリが悪用され、悪意のあるペイロード、具体的にはHavoc C2コンポーネント(vcruntime140_1.dll)がサイドロードされます。その後、Rcloneを使用してデータ漏洩が行われ、盗まれた情報がリモートのSFTPサーバーに転送されます。

ランサムウェアの機能と暗号化戦略

Payouts Kingランサムウェアは、高度な技術力を備えている。検出を回避するために、広範な難読化および解析回避技術を駆使するとともに、スケジュールされたタスクを通じて永続性を維持し、低レベルのシステムコールを介してセキュリティツールを無効化する。

その暗号化メカニズムは、CTRモードのAES-256とRSA-4096を組み合わせ、大容量ファイルに対して断続的な暗号化を適用することで、速度と効果を最適化している。被害者は身代金要求のメッセージを通じてダークウェブ上の情報漏洩サイトに誘導され、データ漏洩の脅威によって圧力が強められる。

証拠によると、このランサムウェア攻撃は、スパム爆撃、Microsoft Teamsを介したフィッシング、リモートアクセスツールの悪用といった類似した戦術に基づき、Black Bastaグループの元関係者と関連している可能性がある。

注目すべき妥協の主要指標

この進化し続ける脅威から身を守るため、組織は以下の警告サインを監視する必要があります。

  • QEMUの不正なインストールまたは実行
  • SYSTEM権限で実行されている疑わしいスケジュール済みタスク
  • 異常なSSHポート転送アクティビティ
  • 非標準ポートを使用したアウトバウンドSSHトンネル

これらの兆候を早期に検出することで、長期的な侵害やデータ損失のリスクを大幅に軽減できます。

トレンド

SnappyClientマルウェア

マルウェア, リモート管理ツール
SnappyClientは、C++で記述された高度なマルウェアであり、HijackLoaderと呼ばれるローダーを介して配布されます。リモートアクセス型トロイの木馬(RAT)として機能し、サイバー犯罪者が侵害されたシステムを乗っ取り、機密データを抜き取ることを可能にします。デバイスに侵入すると、マルウェアはコマンド&コントロール(C2)サーバーに接続し、指示を受信して悪意のある操作を実行しま...

Forestrievic.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
安全にインターネットを閲覧するには、常に警戒を怠らないことが重要です。悪質なウェブサイトは、ユーザーの信頼を悪用する巧妙な手口で設計されており、近年ますます一般的になっているのが偽のCAPTCHA認証です。これらの認証画面は、訪問者に「許可」ボタンをクリックさせ、ロボットではないことを証明させようとします。しかし実際には、クリックすることで、サイト側が迷惑なプッシュ通知を送信する権限を与えて...

ウェブアプリのセキュリティに関するメール詐欺

フィッシング, スパム
今日の脅威環境において、電子メールは依然としてサイバー攻撃の最も一般的な侵入経路の一つです。ユーザーは、予期せぬメッセージ、特に即座の対応を促すメッセージには常に警戒を怠ってはなりません。これらのメールの多くは巧妙に作成された詐欺メールであり、どれほど説得力のある内容であっても、正当な企業、組織、団体とは一切関係がないことを理解することが重要です。 「Webアプリセキュリティ」メール詐欺の手口を解説 セキュリティ研究者らは、いわゆる「Webアプリセキュリティ」メールを典型的なフィッシング詐欺であると特定した。これらのメッセージは、メールサービスプロバイダーからの通知を装うことで、偽りの緊...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
33,645
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
28,704
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
23,387
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...