Нова вълна от атаки, свързани с рансъмуера Payouts King, показва колко бързо се развиват техниките за заобикаляне на защитните системи. Вместо да разчитат единствено на обичайните методи за укриване, атакуващите започват да изграждат собствена „невидима среда“ вътре в компрометираните устройства, използвайки QEMU.
Този подход променя правилата на играта. Виртуалната машина, стартирана чрез QEMU, функционира като изолиран слой, който остава извън обсега на повечето решения за крайна защита. На практика защитният софтуер „вижда“ хоста, но не и това, което се случва вътре във виртуалната система. Именно там нападателите изпълняват своите инструменти, управляват достъпа и подготвят следващите етапи на атаката.
Изследване на Sophos разкрива, че тази техника вече се използва в реални кампании. При една от тях, свързана с групата GOLD ENCOUNTER, атакуващите създават скрита виртуална машина с Linux, която стартират с най-високи системни привилегии. Достъпът до нея се осигурява чрез обратен SSH тунел, което позволява постоянен и трудно откриваем контрол върху компрометираната система.
Особено показателно е как се маскира инфраструктурата. Файловете на виртуалната машина често изглеждат като обикновени библиотеки или бази данни, а самото стартиране се извършва чрез легитимни механизми в операционната система. Това означава, че атаката не се отличава ясно от нормалната активност – нещо, което сериозно затруднява откриването ѝ.
Пътят до първоначалния достъп също не е еднозначен. В различни случаи се наблюдават компрометирани VPN решения, експлоатация на уязвимости в корпоративен софтуер и дори социално инженерство чрез платформи като Microsoft Teams. Често жертвите биват убедени да инсталират легитимни инструменти за отдалечена помощ, като Quick Assist, които впоследствие се използват за внедряване на зловреден код.
След като получат достъп, нападателите преминават към същинската цел – контрол и извличане на данни. Чрез комбинация от системни инструменти и специализирани скриптове те извличат чувствителна информация, анализират вътрешната мрежа и подготвят данните за изнасяне. Виртуалната машина служи като буферна зона, където всичко това се случва скрито от погледа на защитните решения.
Това, което прави тази кампания особено значима, не е само използваният рансъмуер, а концепцията зад нея. Вместо да се опитват да избегнат защитите директно, атакуващите ги заобикалят, като преместват активността си в среда, която тези защити по принцип не наблюдават. Това е качествена промяна – от прикриване към изолиране.
Подобни техники не са напълно нови, но тяхното систематично използване показва, че се превръщат в стандартен инструмент в арсенала на модерните киберпрестъпни групи. Това означава, че традиционните подходи за защита, базирани основно на наблюдение на хоста, вече не са достатъчни.
Случаят с Payouts King е ясен сигнал: заплахите се изместват към по-дълбоки и трудно достъпни слоеве на инфраструктурата. Защитата трябва да ги последва там.
