Virtuális gépekkel a védelem ellen
A Payouts King akciói során a támadók Alpine Linux 3.22.0-val indított QEMU virtuális gépeket rejtenek el, ahol ismert eszközöket futtatnak (például AdaptixC2, Chisel, BusyBox, Rclone). A támadók a rendszerben olyan feladatokat is létrehoznak, mint a TPMProfiler, amelyek rendszergazdai jogosultsággal indítják el a virtuális gépeket. A virtuális gépekben rosszindulatú fájlokat tárolnak, az adatok ellopásához pedig porttovábbítást állítanak be, így a valódi gazdagép láthatatlanul fertőzött marad.
Idővel újabb belépési pontokat is kihasználtak: egyes támadások során nyitott SonicWall- vagy Cisco-VPN-eken jutottak be, máshol IT-munkatársnak adták ki magukat, például a Microsoft Teamsen keresztül vették rá a dolgozókat, hogy telepítsék a Quick Assist programot. Az ilyen támadások többek között a GOLD ENCOUNTER nevű fenyegetési csoporthoz köthetők.
Szofisztikált technika és rejtett adatexfiltráció
A támadók a friss adatok szerint a Black Basta csoport korábbi kapcsoltjaival is összehozhatók, hasonló social engineering és spambombás módszereket alkalmaznak. A zsarolóprogram titkosítása AES-256 (CTR) + RSA-4096 algoritmust használ, a továbbfejlesztett rejtjelezés pedig szakaszosan dolgozza fel a nagy fájlokat, növelve a hatékonyságot. Ráadásul az áldozatokat a sötét weben fenyegetik a kiszivárogtatott adatokkal.
A csalók nem egyetlen eszközcsomagot építenek be, hanem manuálisan fordítják le a kártékony szoftvereket – például az Impacket, a Metasploit vagy a NetExec csomagokat –, amelyekkel fiókokat azonosítanak, Active Directory-t kutatnak fel, és adatokat készítenek elő FTP-szervereken történő feltöltésre.
A történet itt még nem ér véget
A támadások visszatérő motívuma az észrevétlen jelenlét és a tartós rendszerhozzáférés: a támadók szolgáltatásokat is telepítenek – például az AppMgmt-et vagy a ScreenConnectet –, amelyekkel a vállalati hálózaton keresztül irányíthatják az áldozat gépét. A szervezetek csak a gyanús QEMU-telepítések, a rendszerszintű ütemezett feladatok, a szokatlan SSH-porttovábbítások vagy az ismeretlen SSH-forgalom kiszűrésével védekezhetnek a rejtett fenyegetések ellen.
