Група за рансъмуер Qilin

Qilin (известна още като Agenda, Gold Feather и Water Galura) се е превърнала в една от най-продуктивните операции за Ransomware-as-a-Service (RaaS), активни днес. От началото на 2025 г. групата регистрира над 40 жертви на месец (януари беше единственото изключение), достигайки пик от около 100 записа на сайтове за изтичане на информация през юни и регистрирайки по 84 жертви през август и септември 2025 г. Активна от около юли 2022 г., темпото и тактиките на Qilin я правят високорисков участник за предприятията по целия свят.

Кой беше ударен - География и индустрии

Анализът на телеметрията на инцидентите показва, че жертвите на Цилин са концентрирани в Северна Америка и Западна Европа, като Съединените щати, Канада, Обединеното кралство, Франция и Германия са сред най-засегнатите страни. Групировката предпочита определени вертикали: производството представлява около 23% от наблюдаваните цели, професионалните и научните услуги около 18%, а търговията на едро приблизително 10%.

Първоначален достъп и ранно затвърждаване

Разследващите смятат, че много прониквания в партньорски програми на Qilin започват с изтичане на административни данни, получени от хранилища в тъмната мрежа. Злоумишлениците използват тези данни, за да влязат чрез VPN интерфейс и след това да осъществяват RDP връзки към домейн контролери и други компрометирани крайни точки. Оттам те преминават към картографиране на средата и по-задълбочено разузнаване.

Събиране на удостоверения и инструменти

Кампаниите на Qilin използват широко инструменти и техники за събиране на идентификационни данни. Операторите и филиалите използват Mimikatz заедно с помощни програми като WebBrowserPassView.exe, BypassCredGuard.exe и SharpDecryptPwd, за да извличат секретни данни от браузъри, системни хранилища и други приложения. Събраните идентификационни данни се прехвърлят към външни SMTP сървъри с помощта на скриптове на Visual Basic. Наблюдаваното използване на Mimikatz включва действия за:

• изчистване на регистрационните файлове на събитията на Windows и по друг начин изтриване на следи;
• активиране на SeDebugPrivilege;
• извличане на запазени пароли за Chrome от бази данни на SQLite;
• възстановяване на идентификационни данни от предишни влизания; и
• събиране на конфигурация и идентификационни данни за RDP, SSH и Citrix.

Препитание от земята и злоупотреба с легитимни инструменти

Заплашителните актери смесват очевиден зловреден софтуер с легитимни системни помощни програми и добре познати инструменти за администриране, за да се слеят с тълпата. Виждани са да отварят файлове с mspaint.exe, notepad.exe и iexplore.exe, за да проверяват ръчно съдържанието за чувствителна информация, и да използват истинския клиент Cyberduck, за да прехвърлят избрани файлове към отдалечени сървъри, като същевременно крият злонамерени намерения.

Как се използват откраднати удостоверения

След като идентификационните данни са получени, участниците в Qilin ескалират привилегиите и се разпространяват странично. Повишеният достъп е използван за инсталиране на различни продукти за дистанционно наблюдение и управление (RMM) и отдалечен достъп - AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist и ScreenConnect - въпреки че изследователите (Talos) не винаги са могли да определят дали всеки продукт е бил използван предимно за странично движение или за постоянен дистанционен контрол.

Укриване, постоянство и последваща експлоатация

За да избегнат откриването, нападателите изпълняват PowerShell последователности, които деактивират AMSI, изключват валидирането на TLS сертификати и активират режим с ограничен администратор. Те също така използват помощни програми тип kill-switch, като dark-kill и HRSword, за да прекратят продукти за сигурност. За постоянство и скрито командване и контрол те използват Cobalt Strike и SystemBC.

Разгръщане и почистване на рансъмуер

Последният етап е внедряването на рансъмуер вируса Qilin: файловете се криптират, бележките за откуп се поставят в криптирани папки, регистрационните файлове на събитията на Windows се изтриват и всички скрити копия, създадени от услугата за сянка на тома (VSS), се изтриват, за да се осуетят усилията за възстановяване.

Разширени хибридни вериги за атака (Linux двоичен файл на Windows + BYOVD)
Някои сложни инциденти с Qilin са комбинирали няколко усъвършенствани техники. Операторите са внедрили компилиран от Linux рансъмуер двоичен файл, но са го изпълнили на хостове с Windows, сдвоили са този полезен товар с техника „донесете свой собствен уязвим драйвер“ (BYOVD), за да деактивират защитите, и са използвали легитимни инструменти за управление на ИТ, за да се придвижват през средата и да изпълняват полезни товари. При тези атаки драйверът eskle.sys е наблюдаван като уязвим компонент на драйвера, използван за деактивиране на контролите за сигурност, прекратяване на процеси и избягване на откриване.

Резервно насочване и кражба на персонализирани идентификационни данни

Qilin е насочила атаката си специално към инфраструктурата за архивиране на Veeam. Атакуващите са използвали специализирани инструменти за извличане на идентификационни данни от резервни бази данни, за да ги събират, систематично компрометирайки платформите за възстановяване след бедствия на организациите, преди да пуснат ransomware, което значително повишава залозите за засегнатите жертви.

Фишинг и механизми за доставяне на фалшиви CAPTCHA

Освен злоупотребата с валидни акаунти, някои прониквания започнаха с фишинг или с фалшиви CAPTCHA страници в стил ClickFix, хоствани на Cloudflare R2. Тези страници изглежда предоставят полезни товари за кражба на информация, които събират идентификационни данни, които след това се използват повторно за получаване на първоначален достъп до мрежата.

Ключовите наблюдавани техники и инфраструктура включват:

• Разгръщане на SOCKS прокси DLL за разрешаване на отдалечен достъп и изпълнение на команди.
• Злоупотреба със ScreenConnect за изпълнение на команди за откриване и инструменти за мрежово сканиране за локализиране на цели за странично движение.
• Насочване към Veeam системи за архивиране за извличане на идентификационни данни за архивиране от множество бази данни.
• Използване на драйвера eskle.sys при BYOVD атаки за неутрализиране на софтуер за сигурност и прекратяване на защитни процеси.
• Разгръщане на PuTTY SSH клиенти за странично преместване в Linux хостове.
• Изпълнение на SOCKS прокси инстанции в различни директории за обфускиране на C2 трафика през задната вратичка COROXY.
• Използване на WinSCP за преместване на двоичния файл на рансъмуер за Linux върху Windows системи.
• Използване на SRManager.exe на Splashtop Remote за изпълнение на двоичния файл за рансъмуер за Linux директно на машини с Windows.

Междуплатформено въздействие и таргетиране на виртуализацията

Двоичният файл на Linux предоставя междуплатформени възможности: един полезен товар може да засегне както Linux, така и Windows системи в дадена среда. Съвсем наскоро, Qilin извадки бяха актуализирани, за да откриват Nutanix AHV среди, което демонстрира, че групата разширява таргетирането отвъд традиционните VMware внедрявания в съвременни хиперконвергентни инфраструктури.

Обобщение

Операцията на Qilin комбинира кражба на идентификационни данни, злоупотреба с легитимни инструменти за администриране, техники за използване на собствено устройство (BYOVD), целенасочени атаки срещу системи за архивиране и междуплатформен рансъмуер, за да се увеличи максимално въздействието и да се избегне откриването. Защитниците трябва да дадат приоритет на хигиената на идентификационните данни, многофакторното удостоверяване на интерфейсите за отдалечен достъп, сегментирането на системите за архивиране, стриктното наблюдение за аномално използване на легитимни инструменти за дистанционно управление и контролите за откриване на BYOVD активност, базирана на драйвери. Тези мерки намаляват вероятността събраните идентификационни данни или единична точка на компрометиране да доведат до пълномащабно внедряване на рансъмуер.