Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Антивирус не спасет: хакеры теперь прячут целые ОС в обычных файлах

leer en español

QEMU Sophos PayoutsKing GOLD ENCOUNTER CitrixBleed2 ScreenConnect вымогатели
Антивирус не спасет: хакеры теперь прячут целые ОС в обычных файлах
QEMU Sophos PayoutsKing GOLD ENCOUNTER CitrixBleed2 ScreenConnect вымогатели

Новый вирус-вымогатель использует виртуальные машины для обхода защиты.

image

Киберпреступники всё чаще прячут вредоносную активность там, где защитные системы почти ничего не видят. Новый разбор Sophos показывает, что для скрытого проникновения, кражи данных и подготовки шифровальщиков злоумышленники начали активнее использовать QEMU — легальный инструмент виртуализации, который помогает запускать на заражённой машине незаметную для защитных решений виртуальную среду.

По данным Sophos, с конца 2025 года специалисты зафиксировали как минимум две отдельные кампании, где QEMU стал ключевым элементом атаки. В одной из них, STAC4713, преступники разворачивали скрытую виртуальную машину через задачу TPMProfiler, запущенную с правами SYSTEM.

Внутри такой среды размещали набор инструментов для удалённого доступа, кражи учётных данных и вывода информации. Для маскировки образ виртуального диска выдавали то за файл базы данных, то за библиотеку DLL, а связь с внешней инфраструктурой строили через обратные SSH-туннели.

Sophos связывает STAC4713 с распространением вымогателя PayoutsKing. Аналитики считают, что операция может быть связана с группой GOLD ENCOUNTER, которая сосредоточена на атаках на виртуализированную инфраструктуру, включая VMware и ESXi.

В ходе расследования специалисты также заметили смену тактики: если раньше злоумышленники чаще проникали через плохо защищённые VPN и уязвимость SolarWinds Web Help Desk, то в феврале и марте 2026 года появились эпизоды с Cisco SSL VPN, а также с рассылкой писем и обманом сотрудников через Microsoft Teams с последующей загрузкой QuickAssist.

Вторая кампания, STAC3725, началась в феврале 2026 года и использовала уязвимость CitrixBleed2 в NetScaler. После взлома атакующие устанавливали вредоносный клиент ScreenConnect, создавали нового локального администратора и уже затем запускали QEMU с образом Alpine Linux.

В отличие от первой схемы, здесь преступники не приносили готовый комплект утилит, а собирали набор прямо внутри виртуальной машины. Для разведки в Active Directory, перебора имён Kerberos, кражи данных и подготовки дальнейших шагов применялись Impacket, BloodHound, Kerbrute, Metasploit и другие инструменты.

Главная опасность такой схемы в том, что вредоносная активность уходит внутрь виртуальной машины и почти не оставляет следов на основной системе. Такой подход даёт злоумышленникам долгий скрытый доступ, упрощает боковое перемещение по сети и помогает незаметно подготовить атаку с вымогательским ПО.

Sophos советует проверять среду на наличие несанкционированных установок QEMU, подозрительных задач, работающих от имени SYSTEM, нестандартной переадресации портов на SSH и необычных файлов виртуальных дисков.