脅威行為者がQEMUを悪用して、ランサムウェアとリモートアクセスツールの配置に至るキャンペーンを行っていると、Sophosが報告しています。
クロスプラットフォームのオープンソース機械エミュレーターであるQEMUにより、ユーザーはゲストVMをオペレーティングシステム(VMホスト)の上で実行することができます。
過去数年間、セキュリティ研究者は秘密の通信チャネルを確立してバックドアを展開するためにQEMUを使用した複数の悪質なキャンペーンを記録しており、Sophosは現在、2025年後半以降の悪用の増加を観察していると述べています。
2025年11月に最初に観察され、STAC4713として追跡され、PayoutsKingランサムウェアに関連している可能性があるキャンペーンの一部として、脅威行為者はペイロード配信と認証情報の収集のための秘密のリバースSSHバックドアとして機械エミュレーターを使用しました。
最初、ハッカーは初期アクセスのためにMFAが不足していた露出したSonicWall VPNを対象にしていましたが、その後、SolarWinds Web Help Deskのリモートコード実行(RCE)脆弱性であるCVE-2025-26399の悪用に切り替えました。
攻撃者はシステム権限でQEMU VMを起動し、永続性を確立するためにスケジュールされたタスクを作成しました。起動時に、仮想ハードディスクイメージはリバースSSHトンネルを作成し、脅威行為者にVMへの直接アクセスを提供します。
Sophosは、攻撃者がボリュームシャドウコピースナップショットを作成し、Active Directoryデータベースとセキュリティアカウントマネージャー(SAM)およびSYSTEMハイブを一時フォルダーにコピーし、ネイティブWindowsツールを使用してネットワーク共有の発見とファイルアクセスを実行しているのを観察しました。
サイバーセキュリティ企業は、攻撃をPayoutsKingランサムウェアを運用する非公開のハッキンググループであるGold Encounterに起因すると考えています。このギャングはVMwareおよびESXi環境を暗号化の対象にすることで知られています。
2026年2月、Sophosは第2のキャンペーンでQEMUを悪用されるのを観察しました。STAC3725として追跡されているこのキャンペーンは、初期アクセスのためにCVE-2025-5777(悪名高いCitrixBleed2バグ)の悪用に依存しており、永続性を達成するために悪質なScreenConnectクライアントに依存しています。
NetScalerの悪用に続いて、攻撃者はスタートサービスを作成し、QEMUおよび仮想ディスクイメージを取得するためのリモートアクセスツールをインストールし、VM内で手動で攻撃を実行しました。
ハッカーは約12個のツールとライブラリを配置し、認証情報を収集し、Kerberosユーザー名を列挙し、Active Directory偵察を実行し、ペイロードをステージングし、データを流出させているのが観察されました。
「フォローオン活動は侵入全体で異なり、初期アクセスブローカーが元々被害者の環境を侵害し、その後アクセスを他の脅威行為者に売却したことを示唆しています」とSophosは述べています。
組織は、不正なQEMUインストール、悪意のあるスケジュールされたタスク、異常なポート転送ルール、およびアウトバウンドSSHトンネルを監視する必要があります。これらは潜在的な侵害を明かす可能性があります。
翻訳元: https://www.securityweek.com/hackers-abuse-qemu-for-defense-evasion/
