资安公司Sophos揭露,自2025年底以来,滥用虚拟化平台QEMU以规避检测的案例明显增加,且以牟利为目的的攻击团体STAC4713尤为活跃。该团伙将QEMU当作隐蔽载体,在受害主机上构建运行Alpine Linux的虚拟机,内含Adaptix C2(tinker2)、wg-obfuscator、自制WireGuard混淆器、BusyBox、Chisel与Rclone等工具,用于传递勒索软件PayoutsKing并窃取资料。攻击前他们会建立名为TPMProfiler的排程任务,以SYSTEM权限启动虚拟机;开机后再透过Adaptix C2或OpenSSH建立反向SSH隧道,使流量绕过端点防护并维持隐蔽连线。侦察阶段多利用Windows内建的小画家、记事本与Edge,配合第三方工具WizTool找出SMB共享与可利用的档案路径;在凭证竊取方面,攻击者会导出NTDS.dit、SAM与SYSTEM注册表蜂巢,并透过SMB复制到暂存位置,同时滥用VSS建立磁碟快照以协助取证与备份绕过。至于初始入侵管道,Sophos指出常见为未启用多因素认证的SonicWall VPN远端存取,且在今年1月也曾有攻势利用SolarWinds IT服务台漏洞CVE-2025-26399取得入口。总体而言,利用QEMU等虚拟化技术来隐藏攻击工具与通道已成新趋势,企业应强化远端存取防护、启用MFA、监控异常排程与虚拟化执行的可疑活动,以降低类似PayoutsKing攻击的风险。
别只盯VMware了!黑客改用QEMU玩隐身,PayoutsKing暗中爆发
