קבוצת הכופר Qilin

Qilin (שנקראת גם Agenda, Gold Feather ו-Water Galura) התפתחה לאחת מפעולות הכופרה כשירות (RaaS) הפוריות ביותר הפועלות כיום. מתחילת 2025, הקבוצה רשמה יותר מ-40 קורבנות בחודש (ינואר היה היוצא מן הכלל היחיד), כשהיא מגיעה לשיא של כ-100 כניסות לאתרי דליפה ביוני ורשמה 84 קורבנות בכל אחד מאוגוסט וספטמבר 2025. Qilin, הפעילה מאז יולי 2022 בערך, הקצב והטקטיקות שלה הופכים אותה לשחקנית בסיכון גבוה עבור ארגונים ברחבי העולם.

מי נפגע - גיאוגרפיה ותעשיות

ניתוח של טלמטריית האירועים מראה שקורבנותיו של קילין מרוכזים בצפון אמריקה ובמערב אירופה, כאשר ארצות הברית, קנדה, בריטניה, צרפת וגרמניה הן בין המדינות שנפגעו ביותר. הקבוצה מעדיפה ענפים אנכיים מסוימים: ייצור מהווה כ-23% מהמטרות שנצפו, שירותים מקצועיים ומדעיים כ-18%, וסחר סיטונאי כ-10%.

גישה ראשונית ודריסת רגל מוקדמת

חוקרים מאמינים שחדירות רבות לשותפים של Qilin מתחילות עם דליפת אישורי ניהול שהתקבלו ממאגרי רשת אפלה. תוקפים משתמשים באישורים אלה כדי להתחבר דרך ממשק VPN ולאחר מכן לבצע חיבורי RDP לבקרי תחום ונקודות קצה אחרות שנפרצו. משם, הם עוברים למיפוי סביבה וסיור מעמיק יותר.

איסוף ועיבוד תעודות

קמפיינים של Qilin עושים שימוש נרחב בכלים וטכניקות לאיסוף אישורים. מפעילים ושותפים מפעילים את Mimikatz יחד עם כלי עזר כגון WebBrowserPassView.exe, BypassCredGuard.exe ו-SharpDecryptPwd כדי לשלוף סודות מדפדפנים, מאגרי מערכת ויישומים אחרים. אישורים שנאספו מסוננים לשרתי SMTP חיצוניים באמצעות סקריפטים של Visual Basic. השימוש ב-Mimikatz שנצפה בשטח כלל פעולות ל:

• נקה יומני אירועים של Windows ומחק עקבות אחרות;
• הפעל את SeDebugPrivilege;
• לחלץ סיסמאות Chrome שנשמרו ממסדי נתונים של SQLite;
• שחזור אישורים מכניסות קודמות; ו
• איסוף תצורה ואישורים עבור RDP, SSH ו-Citrix.

חיים מהאדמה וכלים לגיטימיים מנוצלים לרעה

גורמי האיום מערבבים תוכנות זדוניות ברורות עם כלי עזר לגיטימיים וכלי ניהול ידועים כדי להשתלב. הם נראו פותחים קבצים עם mspaint.exe, notepad.exe ו-iexplore.exe כדי לבדוק תוכן באופן ידני לאיתור מידע רגיש, ומשתמשים בלקוח Cyberduck אמין כדי להעביר קבצים נבחרים לשרתים מרוחקים תוך הסתרת כוונות זדוניות.

כיצד מנוצלים אישורים גנובים

לאחר שהאישורים נמצאים בידיהם, גורמי Qilin מגדילים את ההרשאות ומתפשטים לרוחב. גישה מוגברת שימשה להתקנת מגוון מוצרי ניטור וניהול מרחוק (RMM) וגישה מרחוק - AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist ו-ScreenConnect - למרות שחוקרים (Talos) לא תמיד יכלו לקבוע האם כל מוצר שימש בעיקר לתנועה לרוחב או לשליטה מרחוק מתמשכת.

התחמקות, התמדה וניצול לאחר מכן

כדי להתחמק מגילוי, התוקפים מבצעים רצפי PowerShell אשר משביתים AMSI, מכבים אימות אישורי TLS ומאפשרים מצב ניהול מוגבל. הם גם פורסים כלי עזר בסגנון kill-switch כגון dark-kill ו-HRSword כדי לסגור מוצרי אבטחה. לצורך שמירה על תקינות ופיקוד ובקרה חשאיים, הם משתמשים ב-Cobalt Strike ו-SystemBC.

פריסה וניקוי של תוכנות כופר

השלב הסופי הוא פריסת תוכנת הכופר Qilin: קבצים מוצפנים, הודעות כופר נשמרות בתיקיות מוצפנות, יומני אירועים של Windows נמחקים וכל עותקי הצל שנוצרו על ידי שירות העתקת הצללים של הנפח (VSS) נמחקים כדי לסכל את מאמצי השחזור.

שרשראות תקיפה היברידיות מתקדמות (בינארי לינוקס ב-Windows + BYOVD)
מספר אירועי Qilin מתוחכמים שילבו מספר טכניקות מתקדמות. מפעילים פרסו קובץ בינארי של תוכנת כופר שהורכב על ידי לינוקס אך הפעילו אותו על מחשבי Windows, שילבו את המטען הזה עם טכניקת 'הבא את מנהל ההתקן הפגיע שלך' (BYOVD) כדי להשבית הגנות, והשתמשו בכלי ניהול IT לגיטימיים כדי לנוע בסביבה ולהפעיל מטענים. בהתקפות אלו, מנהל ההתקן eskle.sys נצפה כרכיב מנהל התקן פגיע המשמש להשבתת בקרות אבטחה, להריגת תהליכים ולהתחמקות מגילוי.

מיקוד גיבוי וגניבת אישורים מותאמת אישית

Qilin התמקדה במיוחד בתשתית הגיבוי של Veeam. תוקפים השתמשו בכלי חילוץ אישורים ייעודיים כנגד מסדי נתונים של גיבוי כדי לאסוף אישורים, ובכך פגיעה שיטתית בפלטפורמות ההתאוששות מאסון של ארגונים לפני שהורידו תוכנות כופר, מה שהעלה משמעותית את הסיכון עבור הקורבנות שנפגעו.

פישינג ומנגנוני מסירה של CAPTCHA מזויפים

מעבר לניצול לרעה של חשבונות, חדירות מסוימות החלו באמצעות פישינג (Spear-Phishing) או באמצעות דפי CAPTCHA מזויפים בסגנון ClickFix המתארחים ב-Cloudflare R2. נראה כי דפים אלה מספקים טעינות גנבי מידע שאוספות אישורים, אשר לאחר מכן משמשות שוב כדי לקבל גישה ראשונית לרשת.

טכניקות ותשתיות מרכזיות שנצפו כוללות:

• פריסת קובץ DLL של פרוקסי של SOCKS כדי לאפשר גישה מרחוק וביצוע פקודות.
• שימוש לרעה ב-ScreenConnect להפעלת פקודות גילוי וכלי סריקת רשת לאיתור מטרות תנועה רוחביות.
• מיקוד במערכות גיבוי של Veeam כדי לחלץ אישורי גיבוי ממספר מסדי נתונים.
• שימוש במנהל ההתקן eskle.sys בהתקפות BYOVD כדי לנטרל תוכנות אבטחה ולסיים תהליכי הגנה.
• פריסת לקוחות SSH של PuTTY למעבר רוחבי למארחי לינוקס.
• הרצת מופעי פרוקסי של SOCKS על פני ספריות שונות כדי לטשטש תעבורת C2 דרך הדלת האחורית של COROXY.
• שימוש ב-WinSCP כדי להעביר את קובץ הכופר הבינארי של לינוקס למערכות Windows.
• מינוף SRManager.exe של Splashtop Remote כדי להפעיל את קובץ הכופר הבינארי של לינוקס ישירות על מכונות Windows.

השפעה חוצת פלטפורמות ומיקוד וירטואליזציה

הקובץ הבינארי של לינוקס מספק יכולת חוצת פלטפורמות: מטען יחיד יכול להשפיע הן על מערכות לינוקס והן על מערכות Windows בסביבה מסוימת. לאחרונה, דגימות Qilin עודכנו כדי לזהות סביבות Nutanix AHV, מה שמראה שהקבוצה מרחיבה את המיקוד מעבר לפריסות VMware מסורתיות לתשתיות היפר-משולבות מודרניות.

תַקצִיר

הפעילות של Qilin משלבת גניבת אישורים, שימוש לרעה בכלי ניהול לגיטימיים, טכניקות BYOVD (מכירת תוכנות BYOVD), התקפות ממוקדות על מערכות גיבוי ותוכנות כופר חוצות פלטפורמות כדי למקסם את ההשפעה ולמנוע גילוי. על המגנים לתעדף היגיינת אישורים, אימות רב-גורמי בממשקי גישה מרחוק, פילוח מערכות גיבוי, ניטור קפדני אחר שימוש חריג בכלי ניהול מרחוק לגיטימיים ובקרות לגילוי פעילות BYOVD מבוססת מנהלי התקנים. אמצעים אלה מפחיתים את הסבירות שאישורים שנאספו או נקודת פגיעה אחת יובילו לפריסה מלאה של תוכנות כופר.