【安全资讯】Payouts King勒索软件利用QEMU虚拟机规避终端安全检测

概要：

网络安全威胁正变得日益隐蔽和复杂。近期，一种名为Payouts King的勒索软件采用了新颖的规避技术，利用开源的QEMU虚拟机模拟器在受感染系统上创建隐藏的虚拟环境，从而绕过主机上的终端安全防护。这种手法不仅为恶意活动提供了庇护所，也凸显了高级持续性威胁（APT）在工具和战术上的持续进化，对全球企业，特别是依赖虚拟化技术的行业构成了严峻挑战。

主要内容：

Sophos公司的研究人员发现，与Payouts King勒索软件运营相关的威胁组织（被追踪为STAC4713）利用QEMU创建隐藏的Alpine Linux虚拟机。攻击者通过名为‘TPMProfiler’的计划任务以SYSTEM权限启动虚拟机，并使用伪装成数据库和DLL文件的虚拟磁盘。核心规避技术在于建立反向SSH隧道，通过端口转发实现对受感染主机的隐蔽远程访问。由于主机安全软件无法扫描虚拟机内部，攻击者得以在其中安全地运行AdaptixC2、Chisel等攻击工具。

初始入侵途径多样，包括暴露的SonicWall VPN、Cisco SSL VPN，以及利用SolarWinds Web Help Desk漏洞（CVE-2025-26399）。在入侵后阶段，攻击者使用VSS创建卷影副本，并通过SMB协议复制NTDS.dit等关键域凭证文件。近期攻击中还观察到攻击者冒充IT人员，通过Microsoft Teams诱骗员工下载恶意QuickAssist软件。

Payouts King勒索软件本身具有高度混淆和反分析机制，使用AES-256和RSA-4096进行间歇性加密。据信其运营者可能与BlackBasta前附属组织有关。另一独立活动（STAC3725）则利用CitrixBleed 2漏洞入侵NetScaler设备，部署恶意服务并安装ScreenConnect客户端维持访问，最终同样投放QEMU运行隐藏虚拟机进行内网横向移动和数据窃取。

这种利用合法虚拟化工具建立持久隐蔽通道的手法，极大地增加了攻击检测和取证的难度。组织应监控未经授权的QEMU安装、高权限计划任务以及非常规端口的SSH外联隧道，以防御此类高级威胁。