Sophosのアナリストは、仮想環境内での悪意のある活動を隠すことを目的とした脅威アクターによるQEMU(「オープンソースのマシンエミュレータおよび仮想化ツール」)の積極的な悪用を調査しています。攻撃者がQEMUおよびHyper-V、VirtualBox、VMwareなどのより一般的なハイパーバイザーベースの仮想化ツールに惹かれるのは、仮想マシン(VM)内での悪意のある活動はエンドポイントセキュリティ管理下では本質的に見えず、ホスト上にはほとんど法医学的証拠を残さないためです。
QEMUの悪用は、多くの年にわたって脅威アクターに使用されている繰り返される手法です:
- 2020年11月:Mandiantは、QEMUをLinuxシステムで使用してツールをホストし、コマンドアンドコントロール(C2)インフラストラクチャへのリバースSSHトンネルを確立する脅威アクターについて説明しました。
- 2024年3月:Kasperskyは、秘密のネットワークトンネリングのためにQEMUを悪用する脅威アクターについて報告しました。
- 2025年5月:Sophosは、QDoorバックドアのデプロイと最終的に3AMランサムウェアの配布にQEMUを使用する攻撃者について文書化しました。
しかし、Sophosのアナリストは、防衛回避のためのQEMUが関与するケースの増加を観察しており、2025年の後半以降、STAC4713とSTAC3725という2つの異なるキャンペーンが特定されています。
STAC4713
2025年11月に初めて観察されたSTAC4713は、PayoutsKingランサムウェアに関連する財務的動機を持つキャンペーンです。このキャンペーンの複数のインシデントは、攻撃者ツールを配布し、ドメイン認証情報を収集するための秘密のリバースSSHバックドアとしてQEMUを関与させました。
QEMUをデプロイするために、攻撃者は「TPMProfiler」という名前のスケジュール済みタスクを作成することで開始します。このタスクは、一般的でないファイル拡張子を持つ仮想ハードディスクイメージを使用して、SYSTEMアカウント下でQEMU VM(qemu-system-x86_64.exe)を起動します。以前のインシデントでは、ディスクイメージはvault.dbに偽装されていましたが、2026年1月にはDLL(bisrv.dll)に偽装されるよう切り替わりました。
スケジュール済みタスクは、カスタムポート(32567、22022)からポート22(SSH)へのポート転送を有効にすることで永続性も確立します。ブート時に、ディスクイメージはAdaptixC2またはOpenSSHを使用してリモートIPアドレスへのリバースSSHトンネルを確立します。このアクション은隠れたVMへの秘密のリモートアクセスチャネルを作成し、エンドポイント検出をバイパスします。
QEMU VMは、攻撃者ツールを含むAlpine 3.22.0ディスクイメージをホストします。ツール類はインシデント間で異なりますが、一般的にはtinker2(AdaptixC2)、wg-obfuscator(カスタムWireGuardトラフィックオブスケータ)、BusyBox、Chisel、およびRcloneが含まれます。
Sophosのアナリストは、このキャンペーンの調査時に以下のアクティビティも観察しました:
- 脅威アクターはボリュームシャドウコピーサービス(VSS)ユーザーインターフェイス(vssuirun.exe)を使用してボリュームシャドウコピースナップショットを作成しました。また、printコマンドを利用してActive Directoryデータベース(NTDS.dit)とSAMおよびSYSTEMハイブをSMB経由でtempディレクトリにコピーしました。
- 脅威アクターはMicrosoft Paint、メモ帳、Microsoft Edgeなどのネイティブツール、および無料で利用可能なサードパーティのWizTreeツールをネットワークシェア発見とファイルアクセスのために悪用しました。
- 初期アクセス方法はイントルージョン間で異なりました。古いインシデントは多要素認証(MFA)が有効になっていない公開SonicWall VPNを利用していましたが、2026年1月のインシデントはSolarWinds Web Help Deskの脆弱性(CVE-2025-26399)を悪用しました。2月には、MicrosoftおよびHuntressがこの脆弱性によるQEMUデプロイメントの同様の観察を報告しました。
PayoutsKingランサムウェアへのリンク
STAC4713キャンペーンはデータ盗難とPayoutsKingランサムウェアのデプロイメントにリンクされている可能性が非常に高いです。Counter Threat Unit™(CTU)の研究者は、2025年中盤に出現したPayoutsKingランサムウェアおよび恐喝作業をGOLD ENCOUNTER脅威グループに属することとしています。Sophosの分析は、グループがハイパーバイザーに焦点を当てており、VMwareおよびESXi環境をターゲットとするエンクリプタを持っていることを示しています。PayoutsKingオペレーターは、ランサムウェア・アズ・ア・サービス(RaaS)モデルの下では動作しないこと、およびアフィリエイトと協力しないことを明確に述べており、これらの観察されたインシデント全体での戦術的な違いは別の脅威アクターではなく意図的な攻撃者の選択肢によるものであることを示唆しています。
2026年2月から開始して、SophosのアナリストはGOLD ENCOUNTERの戦術における注目すべき変化を特定しました。これには異なる初期アクセスベクトルおよび秘密のリモートアクセス用QEMUの放棄が含まれます。2026年2月のインシデントでは、脅威アクターは公開されたCisco SSL VPN経由でアクセスを取得しました。2026年3月のケースでは、メール迷惑メールを介して従業員をターゲットにし、Microsoft TeamsでサポートになりすましてユーザーをQuickAssistのダウンロードに欺きました。両方のインスタンスで、脅威アクターは正規のADNotificationManager.exeバイナリを使用してHavoc C2ペイロード(vcruntime140_1.dll)をサイドロードし、その後Rcloneを利用してリモートSFTP場所にデータを流出させました。
STAC3725
2026年2月に初めて観察されたSTAC3725キャンペーンは、CitrixBleed2脆弱性(CVE-2025-7775)を利用してアクセスを獲得し、その後、悪意のあるScreenConnectクライアントをインストールして永続性を維持します。脅威アクターはQEMU VMをデプロイして、列挙および認証情報の盗難を行うための追加ツールをインストールします。
NetScaler経由での被害者環境への初期アクセス後、脅威アクターはZIPアーカイブ(an.zip)をステージします。アーカイブ内の実行可能ファイル(an.exe)は「AppMgmt」という名前のサービスを作成して開始し、新しいローカル管理者ユーザー(CtxAppVCOMService)を追加し、アーカイブ内にバンドルされていた可能性がある.msiファイル経由でScreenConnectクライアントをインストールします。
ScreenConnectクライアント実行可能ファイル(ScreenConnect.ClientService.exe)はリレーサーバー(vtps.us)に到達し、システム権限の下でセッションを確立します。その後、被害者のDocumentsディレクトリ(例:C:\Users\<username>\Documents\ScreenConnect\Files\qemu_custom.zip)にZIPアーカイブを作成し、7-Zipを介して抽出されます。このアーカイブから抽出されたqemu-system-x86_64.exeファイルはcustom.qcow2という名前の仮想ディスクイメージを使用してホスト上でAlpine Linux VMをブートして実行します。
攻撃者は事前に構築されたツールキットをデプロイするのではなく、Impacket、KrbRelayx、Coercer、BloodHound.py、NetExec、Kerbrute、Metasploit、およびPython、Rust、Ruby、C++のサポートライブラリを含む完全な攻撃スイートをVM内で手動でインストールおよびコンパイルします。観察された悪意のあるアクティビティには、認証情報のダウンロード、Kerbruteを介したKerberos ユーザー名の列挙、BloodHoundを介したActive Directory偵察、およびpyftpdlibを介したFTPサーバーの実行(ペイロードステージングまたはデータ流出用)が含まれていました。QEMU活動に加えて、ScreenConnectクライアントはWDigestレジストリキーを追加して認証情報を保存し、FTK ImagerをインストールしてすべてのMicrosoft Defender除外を削除し、発見コマンドを実行し、脆弱なカーネルドライバー(K7RKScan_1516.sys)をインストールします。
後続のアクティビティはイントルージョン間で異なり、初期アクセスブローカーが元々被害者環境を侵害し、その後アクセスを他の脅威アクターに販売したことを示唆しています。1つのインシデントでは、脅威アクターはTotal Software DeploymentおよびTotal Network Inventoryツール、および別の悪意のあるScreenConnectクライアントをデプロイすることで環境へのアクセスを維持しました。別のケースでは、脅威アクターはNetBirdを使用して暗号化されたピアツーピア接続を確立し、cookie_exporter.exe経由でブラウザセッションクッキーを抽出しようとし、Microsoft Defenderを無効にするPowerShellスクリプトを実行しました。
推奨事項、保護、および指標
QEMUの悪用は、脅威アクターがエンドポイント保護エージェントおよび監査ログから悪意のあるアクションを隠すために正規の仮想化ソフトウェアを活用する成長中の回避傾向を表しています。事前にロードされたまたはコンパイルされた攻撃ツールキットを備えた隠れたVMにより、脅威アクターはネットワークへの長期アクセスを持つことができ、ホスト自体に証拠を残さずにマルウェアをデプロイし、認証情報を収集し、横展開する能力を提供します。
組織は、不正なQEMUインストール、予期しないスケジュール済みタスク(特にSYSTEMアカウント下で実行されるもの)、およびポート22をターゲットとする異常なポート転送ルールについて環境を監査する必要があります。ネットワークディフェンダーは、非標準ポートから発信される送出SSHトンネルを監視し、異常なファイル拡張子を持つ仮想ディスクイメージ(例:.db、.dll、.qcow2)にフラグを立てる必要があります。
表1はこの脅威に関連するSophosの保護をリストしています。
| 名前 | 説明 |
| ATK/AdaptixC2-F | AdaptixC2を検出 |
| Collection_2c | 認証情報をダンプするために使用されるprintコマンドを検出 |
| win-eva-prc-susp-qemu-1 | ポート転送を使用したQEMU使用を検出 |
| AppC/Qemu-Gen | QEMUのアプリケーション制御検出 |
| WIN-DET-CREDS-NTDS-DUMP-FILE-1[2] | NTDS.ditのダンプを検出 |
表1:この脅威に関連するSophosの保護
表2の脅威指標は、この脅威に関連するアクティビティを検出するために使用できます。IPアドレスは再割り当てされる可能性があることに注意してください。ドメインおよびIPアドレスには悪意のあるコンテンツが含まれる可能性があるため、ブラウザで開く前にリスクを検討してください。
| 指標 | タイプ | コンテキスト |
| 7ae413b76424508055154ee262c7567705dc1ac00607f5ac2e43d032221b34b3 | SHA256ハッシュ | STAC4713に関連するAdaptixC2エージェント |
| 25e4d0eacff44f67a0a9d13970656cf76e5fd78c | SHA1ハッシュ | STAC4713に関連するAdaptixC2エージェント |
| f7a11aeaa4f0c748961bbebb2f9e12b6 | MD5ハッシュ | STAC4713に関連するAdaptixC2エージェント |
| f3194018d60645e43afabac33ceb4e852f95241b410cd726b1c40e3021589937 | SHA256ハッシュ | STAC4713に関連するAdaptixC2エージェント |
| 6c09b0d102361888daa7fa4f191f603a19af47cb | SHA1ハッシュ | STAC4713に関連するAdaptixC2エージェント |
| b752ebfc1004f2c717609145e28243f3 | MD5ハッシュ | STAC4713に関連するAdaptixC2エージェント |
| c6b848c6a61685724fa9e2b3f6e3a118323ee0c165d1aa8c8a574205a4c4be59 | SHA256ハッシュ | STAC4713に関連する攻撃者ツールを含むQEMU悪意のあるディスクイメージ(vault.db) |
| 66dc383e9e0852523fe50def0851b9268865f779 | SHA1ハッシュ | STAC4713に関連する攻撃者ツールを含むQEMU悪意のあるディスクイメージ(vault.db) |
| a65f0144101d93656c5f9ad445b3993336e1f295a838351aeca6332c0949b463 | SHA256ハッシュ | STAC4713およびSTAC3725に関連する正規のQEMU実行可能ファイル(qemu-system-x86_64.exe) |
| 903edad58d54f056bd94c8165cc20e105b054fa8 | SHA1ハッシュ | STAC4713およびSTAC3725に関連する正規のQEMU実行可能ファイル(qemu-system-x86_64.exe) |
| b186baf2653c6c874e7b946647b048cc | MD5ハッシュ | STAC4713およびSTAC3725に関連する正規のQEMU実行可能ファイル(qemu-system-x86_64.exe) |
| 61c14c01460810f6f5f760daf8edbda82eea908b1a95052f8e0f9c4162c2900c | SHA256ハッシュ | STAC4713に関連する攻撃者ツールを含むQEMU悪意のあるディスクイメージ(bisrv.dll) |
| 3a33b5bceb1eba4cc749534b03dd245f965d8f200aa02392baad78f5021a20ff | SHA256ハッシュ | STAC4713に関連するカスタムWireGuardトラフィックプロキシバイナリ(wg-obfuscator) |
| 8c8e75dc4b4e1f201b56133a00fa9d1d711ccb50 | SHA1ハッシュ | STAC4713に関連するカスタムWireGuardトラフィックプロキシバイナリ(wg-obfuscator) |
| 6f55743091410dad6cdb0b7e474f03e7 | MD5ハッシュ | STAC4713に関連するカスタムWireGuardトラフィックプロキシバイナリ(wg-obfuscator) |
| 144[.]208[.]127[.]190 | IPアドレス | 疑わしいC2サーバー;STAC4713に関連するQEMU VMディスクイメージ(bisrv.dll)内の既知SSHホスト |
| 74[.]242[.]216[.]76 | IPアドレス | 疑わしいC2サーバー;STAC4713に関連するvault.dbファイルによって確立されたSSH逆トンネルの宛先 |
| 194[.]110[.]172[.]152 | IPアドレス | 疑わしいC2サーバー;STAC4713に関連するSSH逆トンネルの宛先 |
| 98[.]81[.]138[.]214 | IPアドレス | 疑わしいC2サーバー;STAC4713に関連するvault.dbファイルによって確立されたSSH逆トンネルの宛先 |
| 158[.]158[.]0[.]165 | IPアドレス | 疑わしいC2サーバー;STAC4713に関連するvault.dbファイルによって確立されたSSH逆トンネルの宛先 |
| vtps[.]us | ドメイン名 | STAC3725に関連する悪意のあるScreenConnectリレーサーバー |
表2:この脅威の指標
翻訳元: https://www.sophos.com/ja-jp/blog/qemu-abused-to-evade-detection-and-enable-ransomware-delivery
