B
今週中
Payouts Kingランサムウェアが、エンドポイントセキュリティを回避するためにQEMUエミュレータを悪用していること
📌 一言でいうと
Payouts Kingランサムウェアが、エンドポイントセキュリティを回避するためにQEMUエミュレータを悪用していることが判明しました。攻撃者はQEMUを使用してホスト上で隠し仮想マシン(VM)を実行し、セキュリティソフトの検知を逃れながらペイロードの実行やSSHによるリモートアクセスを実現します。Sophosの分析によると、この手法はドメイン資格情報の収集や、CitrixBleedなどの脆弱性を突いた攻撃と組み合わせて利用されています。
✅該当時の対応
QEMUなどの仮想化ツールの不正なインストールを監視し、Citrix製品を含む外部公開資産のパッチ適用を徹底してください。また、不審なSSHトラフィックや特権アカウントの異常な挙動を検知する監視体制を強化することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Payouts KingランサムウェアによるQEMU悪用とセキュリティ回避について
お疲れさまです。標記の脅威に関する情報共有です。
■ 概要
Payouts Kingランサムウェアが、QEMUエミュレータを悪用してホストシステム上に隠し仮想マシン(VM)を構築し、エンドポイントセキュリティ製品(EDR等)の検知を回避する手法が確認されました。攻撃者はこのVM内部でペイロードの実行や、SSHを用いた隠蔽的なリモートアクセスルートを構築します。また、CitrixBleed 2 (CVE-2025-XXXX) 等の脆弱性を起点とした侵入事例も報告されています。
■ 影響範囲
- QEMUをインストール・利用している環境
- パッチ未適用のCitrix製品を利用している環境
- 外部公開されている仮想化基盤
■ 対応手順
1. QEMU等の仮想化ツールの不正なインストールや、予期せぬプロセスの起動がないかエンドポイントの監視を強化してください。
2. Citrix製品を含む外部公開資産に対し、最新のセキュリティパッチが適用されているか至急確認してください。
3. 内部ネットワークにおける不審なSSHトラフィックや、特権アカウントによる異常な挙動の検知ルールを最適化してください。
■ 参考情報
- Sophos Analysis / BleepingComputer
対応優先度: 高(速やかな確認と対策を推奨)
お疲れさまです。標記の脅威に関する情報共有です。
■ 概要
Payouts Kingランサムウェアが、QEMUエミュレータを悪用してホストシステム上に隠し仮想マシン(VM)を構築し、エンドポイントセキュリティ製品(EDR等)の検知を回避する手法が確認されました。攻撃者はこのVM内部でペイロードの実行や、SSHを用いた隠蔽的なリモートアクセスルートを構築します。また、CitrixBleed 2 (CVE-2025-XXXX) 等の脆弱性を起点とした侵入事例も報告されています。
■ 影響範囲
- QEMUをインストール・利用している環境
- パッチ未適用のCitrix製品を利用している環境
- 外部公開されている仮想化基盤
■ 対応手順
1. QEMU等の仮想化ツールの不正なインストールや、予期せぬプロセスの起動がないかエンドポイントの監視を強化してください。
2. Citrix製品を含む外部公開資産に対し、最新のセキュリティパッチが適用されているか至急確認してください。
3. 内部ネットワークにおける不審なSSHトラフィックや、特権アカウントによる異常な挙動の検知ルールを最適化してください。
■ 参考情報
- Sophos Analysis / BleepingComputer
対応優先度: 高(速やかな確認と対策を推奨)
Subject: [Security Advisory] Payouts King Ransomware Bypassing EDR via QEMU VMs
Dear IT Administration Team,
We are sharing critical information regarding a new evasion technique used by the Payouts King ransomware group.
■ Overview
Payouts King is leveraging the QEMU emulator to deploy hidden virtual machines (VMs) on compromised hosts. Because host-based security solutions often cannot scan inside these VMs, attackers use them to execute malicious payloads and establish covert remote access tunnels via SSH. Some campaigns have been observed exploiting vulnerabilities such as CitrixBleed 2 (CVE-2025-XXXX) for initial access.
■ Scope
- Systems with QEMU installed or permitted
- Unpatched Citrix environments
- Public-facing virtualization infrastructure
■ Recommended Actions
1. Monitor endpoints for unauthorized installations of QEMU or unexpected virtualization processes.
2. Promptly verify that all public-facing assets, particularly Citrix products, are updated with the latest security patches.
3. Enhance monitoring for anomalous SSH traffic and suspicious behavior associated with privileged accounts.
■ Reference
- Sophos Analysis / BleepingComputer
Priority: High (Prompt action is recommended)
Dear IT Administration Team,
We are sharing critical information regarding a new evasion technique used by the Payouts King ransomware group.
■ Overview
Payouts King is leveraging the QEMU emulator to deploy hidden virtual machines (VMs) on compromised hosts. Because host-based security solutions often cannot scan inside these VMs, attackers use them to execute malicious payloads and establish covert remote access tunnels via SSH. Some campaigns have been observed exploiting vulnerabilities such as CitrixBleed 2 (CVE-2025-XXXX) for initial access.
■ Scope
- Systems with QEMU installed or permitted
- Unpatched Citrix environments
- Public-facing virtualization infrastructure
■ Recommended Actions
1. Monitor endpoints for unauthorized installations of QEMU or unexpected virtualization processes.
2. Promptly verify that all public-facing assets, particularly Citrix products, are updated with the latest security patches.
3. Enhance monitoring for anomalous SSH traffic and suspicious behavior associated with privileged accounts.
■ Reference
- Sophos Analysis / BleepingComputer
Priority: High (Prompt action is recommended)