Qilini lunavararühm

Qilin (tuntud ka kui Agenda, Gold Feather ja Water Galura) on arenenud üheks viljakamaks lunavarateenusena (RaaS) tegutsevaks ettevõtteks, mis tänapäeval tegutseb. Alates 2025. aasta algusest on rühmitus registreerinud üle 40 ohvri kuus (jaanuar oli ainus erand), saavutades haripunkti umbes 100 lekkekoha sissekandega juunis ning registreerides 84 ohvrit nii augustis kui ka septembris. Qilini kiirus ja taktika, mis on aktiivne umbes 2022. aasta juulist, muudavad selle ettevõtete jaoks kogu maailmas kõrge riskiga tegutsejaks.

Keda tabas - geograafia ja tööstusharud

Juhtumite telemeetria analüüs näitab, et Qilini ohvrid on koondunud Põhja-Ameerikasse ja Lääne-Euroopasse, kusjuures enim mõjutatud riikide hulgas on Ameerika Ühendriigid, Kanada, Ühendkuningriik, Prantsusmaa ja Saksamaa. Rühm eelistab teatud vertikaale: tootmine moodustab umbes 23% vaadeldud sihtmärkidest, professionaalsed ja teaduslikud teenused umbes 18% ning hulgimüük umbes 10%.

Esmane juurdepääs ja varajane jalgealune

Uurijad usuvad, et paljud Qilini sidusettevõtete sissetungid saavad alguse tumeveebi andmehoidlatest saadud lekkinud administraatori volitustest. Vaenlased kasutavad neid volitusi VPN-liidese kaudu sisselogimiseks ja seejärel RDP-ühenduste loomiseks domeenikontrollerite ja muude ohustatud lõpp-punktidega. Sealt edasi liiguvad nad keskkonna kaardistamise ja põhjalikuma luure juurde.

Volituste kogumine ja tööriistad

Qilini kampaaniad kasutavad ulatuslikult volituste kogumise tööriistu ja tehnikaid. Operaatorid ja sidusettevõtted käitavad Mimikatzi koos selliste utiliitidega nagu WebBrowserPassView.exe, BypassCredGuard.exe ja SharpDecryptPwd, et hankida salajasi andmeid brauseritest, süsteemisalvestustest ja muudest rakendustest. Kogutud volitused filtreeritakse Visual Basicu skriptide abil välistele SMTP-serveritele. Mimikatzi kasutamisel täheldati järgmisi toiminguid:

• tühjendage Windowsi sündmuste logid ja muul viisil kustutage jäljed;
• luba SeDebugPrivilege;
• eralda salvestatud Chrome'i paroolid SQLite'i andmebaasidest;
• taastada varasemate sisselogimiste volitused ja
• koguda RDP, SSH ja Citrixi konfiguratsiooni ja volitusi.

Maast väljas elamine ja seaduslike tööriistade kuritarvitamine

Ohtlikud tegelased segavad ilmset pahavara legitiimsete süsteemiutiliitide ja tuntud administraatoritööriistadega, et sulanduda. Neid on nähtud faile mspaint.exe, notepad.exe ja iexplore.exe abil avamas, et sisu käsitsi tundliku teabe suhtes kontrollida, ning kasutamas head Cyberducki klienti valitud failide edastamiseks kaugserveritesse, varjates samal ajal pahatahtlikke kavatsusi.

Kuidas varastatud volitusi ära kasutatakse

Kui volitused on käes, eskaleerivad Qilini osapooled privileege ja levitavad neid külgsuunas. Kõrgendatud juurdepääsu on kasutatud mitmesuguste kaugseire ja -halduse (RMM) ning kaugjuurdepääsu toodete – AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist ja ScreenConnect – installimiseks, kuigi teadlased (Talos) ei suutnud alati kindlaks teha, kas iga toodet kasutati peamiselt külgsuunaliseks liikumiseks või püsivaks kaugjuhtimiseks.

Vältimine, püsivus ja järelkasutamine

Avastamise vältimiseks käivitavad ründajad PowerShelli jadasid, mis keelavad AMSI, lülitavad välja TLS-sertifikaatide valideerimise ja lubavad piiratud administraatori režiimi. Samuti kasutavad nad turvatoodete sulgemiseks kill-switch-tüüpi utiliite, näiteks dark-kill ja HRSword. Püsivuse ja varjatud käsu- ja kontrolli tagamiseks kasutavad nad Cobalt Strike'i ja SystemBC-d.

Lunavara juurutamine ja puhastamine

Viimane etapp on Qilini lunavara juurutamine: failid krüpteeritakse, lunaraha nõudvad märkmed paigutatakse krüpteeritud kaustadesse, Windowsi sündmuste logid kustutatakse ja kõik Volume Shadow Copy Service'i (VSS) loodud varikoopiad kustutatakse, et takistada taastamispüüdlusi.

Täiustatud hübriidrünnakute ahelad (Linuxi binaarfail Windowsis + BYOVD)
Mõned keerukad Qilini intsidendid on ühendanud mitu täiustatud tehnikat. Operaatorid on juurutanud Linuxi kompileeritud lunavara binaarfaili, kuid käivitanud selle Windowsi hostarvutites, sidunud selle kasuliku koormuse „too oma haavatav draiver” (BYOVD) tehnikaga kaitsemeetmete keelamiseks ning kasutanud keskkonnas liikumiseks ja kasulike koormuste käivitamiseks legitiimseid IT-haldustööriistu. Nendes rünnakutes täheldati eskle.sys draiverit haavatava draiverikomponendina, mida kasutati turvakontrollide keelamiseks, protsesside peatamiseks ja tuvastamise vältimiseks.

Varundussihtimine ja kohandatud volituste vargus

Qilin on spetsiaalselt sihtinud Veeami varundusinfrastruktuuri. Ründajad kasutasid varundusandmebaaside vastu spetsiaalseid volituste hankimise tööriistu volituste kogumiseks, kahjustades süstemaatiliselt organisatsioonide katastroofidejärgseid taastamise platvorme enne lunavara installimist, suurendades oluliselt mõjutatud ohvrite ohtu.

Andmepüük ja võltsitud CAPTCHA edastusmehhanismid

Lisaks kehtivale konto kuritarvitamisele said teatud sissetungid alguse odavõngimisest või Cloudflare R2-s majutatud ClickFixi-tüüpi võltsitud CAPTCHA-lehtedest. Need lehed näivad edastavat teavet varastavaid koormusi, mis koguvad volitusi, mida seejärel taaskasutatakse esmase võrguühenduse saamiseks.

Peamised vaadeldud tehnikad ja infrastruktuur hõlmavad järgmist:

• SOCKS-i puhverserveri DLL-i juurutamine kaugjuurdepääsu ja käskude täitmise võimaldamiseks.
• ScreenConnecti kuritarvitamine tuvastuskäskluste ja võrguskannimistööriistade käivitamiseks külgliikumise sihtmärkide leidmiseks.
• Veeami varundussüsteemide sihtimine varundusvolituste hankimiseks mitmest andmebaasist.
• Eskle.sys draiveri kasutamine BYOVD rünnakutes turvatarkvara neutraliseerimiseks ja kaitseprotsesside lõpetamiseks.
• PuTTY SSH klientide juurutamine Linuxi hostidele lateraalseks liikumiseks.
• SOCKS-i puhverserveri eksemplaride käitamine eri kataloogides, et hägustada C2-liiklust COROXY tagaukse kaudu.
• WinSCP kasutamine Linuxi lunavara binaarfaili Windowsi süsteemidesse teisaldamiseks.
• Splashtop Remote'i SRManager.exe kasutamine Linuxi lunavara binaarfaili otse Windowsi masinates käivitamiseks.

Platvormideülene mõju ja virtualiseerimise sihtimine

Linuxi binaarfail pakub platvormideülest võimekust: üks kasulik koormus võib mõjutada nii Linuxi kui ka Windowsi süsteeme keskkonnas. Hiljuti värskendati Qilini näidiseid Nutanixi AHV-keskkondade tuvastamiseks, mis näitab, et grupp laiendab sihtimist traditsioonilistest VMware'i juurutustest kaugemale ja hõlmab kaasaegseid hüperkonvergeeritud infrastruktuure.

Kokkuvõte

Qilini operatsioon ühendab endas volituste varastamise, seaduslike administreerimistööriistade väärkasutamise, BYOVD-tehnikad, sihipärased rünnakud varundussüsteemidele ja platvormideülese lunavara, et maksimeerida mõju ja vältida avastamist. Kaitsjad peaksid seadma esikohale volituste hügieeni, mitmefaktorilise autentimise kaugjuurdepääsu liidestel, varundussüsteemide segmenteerimise, seaduslike kaughaldustööriistade anomaalse kasutamise range jälgimise ja kontrollid draiveripõhise BYOVD-tegevuse tuvastamiseks. Need meetmed vähendavad tõenäosust, et varastatud volitused või üksainus kompromiteerimispunkt viib täieliku lunavara juurutamiseni.