Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Ransomware Qilin zsarolóvírus-csoport

Qilin zsarolóvírus-csoport

Mezo -ra Ransomware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

A Qilin (más néven Agenda, Gold Feather és Water Galura) az egyik legtermékenyebb, ma is aktív zsarolóvírus-szolgáltatásként (RaaS) műveletté fejlődött. 2025 eleje óta a csoport havonta több mint 40 áldozatot jelentett be (január volt az egyetlen kivétel), júniusban nagyjából 100 szivárgásoldali bejegyzéssel tetőzött, augusztusban és szeptemberben pedig egyaránt 84 áldozatot regisztrált. A 2022 júliusa óta aktív Qilin tempója és taktikája magas kockázatú szereplővé teszi a vállalatok számára világszerte.

Kit sújtottak - Földrajz és iparágak

Az incidensek telemetriai elemzése azt mutatja, hogy a Qilin áldozatai Észak-Amerikában és Nyugat-Európában koncentrálódnak, az Egyesült Államok, Kanada, az Egyesült Királyság, Franciaország és Németország a leginkább érintett országok közé tartozik. A csoport bizonyos vertikális ágazatokat részesít előnyben: a gyártás a megfigyelt célpontok mintegy 23%-át, a szakmai és tudományos szolgáltatások körülbelül 18%-át, a nagykereskedelem pedig nagyjából 10%-át teszi ki.

Kezdeti hozzáférés és korai megvetődés

A nyomozók úgy vélik, hogy sok Qilin-partneri behatolás sötét webes adattárakból kiszivárgott adminisztratív adatokkal kezdődik. A támadók ezeket a hitelesítő adatokat használják VPN-felületen keresztüli bejelentkezéshez, majd RDP-kapcsolatokat létesítenek tartományvezérlőkkel és más feltört végpontokkal. Innen a környezet feltérképezésével és a mélyebb felderítéssel foglalkoznak.

Hitelesítő adatok begyűjtése és eszközölése

A Qilin kampányok széles körben alkalmazzák a hitelesítő adatok gyűjtésére szolgáló eszközöket és technikákat. Az üzemeltetők és a partnerek a Mimikatz-ot olyan segédprogramokkal együtt futtatják, mint a WebBrowserPassView.exe, a BypassCredGuard.exe és a SharpDecryptPwd, hogy titkos adatokat nyerjenek ki böngészőkből, rendszertárolókból és más alkalmazásokból. A begyűjtött hitelesítő adatokat Visual Basic szkriptek segítségével külső SMTP-kiszolgálókra szivárogtatják ki. A Mimikatz megfigyelt használata során a következő műveleteket végezték el:

  • törölje a Windows eseménynaplókat és egyéb módon törölje a nyomokat;
  • SeDebugPrivilege engedélyezése;
  • mentett Chrome-jelszavak kinyerése az SQLite adatbázisokból;
  • hitelesítő adatok visszaállítása korábbi bejelentkezésekből; és
  • RDP, SSH és Citrix konfigurációjának és hitelesítő adatainak begyűjtése.

A földön kívüli élet és a jogos eszközök visszaélése

A fenyegetések szereplői nyilvánvaló rosszindulatú programokat ötvöznek legitim rendszer segédprogramokkal és jól ismert adminisztrációs eszközökkel, hogy beolvadjanak a környezetbe. Látták őket, amint az mspaint.exe, a notepad.exe és az iexplore.exe segítségével nyitnak meg fájlokat, hogy manuálisan ellenőrizzék a tartalmukat érzékeny információk után kutatva, és a valódi Cyberduck klienst használják a kiválasztott fájlok távoli szerverekre való átvitelére, miközben rosszindulatú szándékot lepleznek.

Hogyan használják fel az ellopott hitelesítő adatokat?

Miután a hitelesítő adatok a kezébe kerültek, a Qilin-szereplők eszkalálják a jogosultságokat, és laterálisan terjesztik azokat. Emelt szintű hozzáférést számos távoli megfigyelési és kezelési (RMM) és távoli hozzáférési termék – AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist és ScreenConnect – telepítésére használtak, bár a kutatók (Talos) nem mindig tudták meghatározni, hogy az egyes termékeket elsősorban laterális mozgásra vagy állandó távvezérlésre használták-e.

Kijátszás, kitartás és utólagos kizsákmányolás

Az észlelés elkerülése érdekében a támadók PowerShell-szekvenciákat futtatnak, amelyek letiltják az AMSI-t, kikapcsolják a TLS tanúsítvány-érvényesítést és engedélyezik a korlátozott adminisztrátori módot. Emellett kill-switch stílusú segédprogramokat, például a dark-kill-t és a HRSword-öt is telepítenek a biztonsági termékek leállítására. A perzisztencia és a titkos parancs- és vezérlés érdekében a Cobalt Strike-ot és a SystemBC-t használják.

Zsarolóvírusok telepítése és eltávolítása

Az utolsó szakasz a Qilin zsarolóvírus telepítése: a fájlokat titkosítják, a váltságdíjjegyzeteket titkosított mappákba helyezik, a Windows eseménynaplóit törlik, és a Volume Shadow Copy Service (VSS) által létrehozott összes árnyékmásolatot törlik, hogy megnehezítsék a helyreállítási erőfeszítéseket.

Fejlett hibrid támadási láncok (Linux bináris fájl Windows rendszeren + BYOVD)
Néhány kifinomult Qilin-incidens több fejlett technikát kombinált. Az operátorok Linux rendszeren fordított zsarolóvírus-bináris fájlt telepítettek, de azt Windows gépeken futtatták, ezt a hasznos fájlt egy „hozd magaddal a sebezhető illesztőprogramot” (BYOVD) technikával párosították a védelem letiltásához, és legitim IT-felügyeleti eszközöket használtak a környezetben való mozgáshoz és a hasznos fájlok végrehajtásához. Ezekben a támadásokban az eskle.sys illesztőprogramot figyelték meg sebezhető illesztőprogram-összetevőként, amelyet a biztonsági vezérlők letiltására, a folyamatok leállítására és az észlelés elkerülésére használtak.

Biztonsági mentés célzás és személyre szabott hitelesítő adatok ellopása

A Qilin kifejezetten a Veeam biztonsági mentési infrastruktúráját vette célba. A támadók speciális hitelesítőadat-kinyerő eszközöket használtak a biztonsági mentési adatbázisokban a hitelesítő adatok megszerzéséhez, szisztematikusan veszélyeztetve a szervezetek katasztrófa-helyreállítási platformjait, mielőtt zsarolóvírust telepítettek volna, jelentősen növelve az érintett áldozatok kockázatát.

Adathalászat és hamis CAPTCHA kézbesítési mechanizmusok

A fiókokkal való jogos visszaéléseken túl bizonyos behatolások célzott adathalászattal vagy a Cloudflare R2-n tárolt ClickFix-stílusú hamis CAPTCHA-oldalakkal kezdődtek. Úgy tűnik, hogy ezek az oldalak információkat ellopó hasznos adatokat küldenek, amelyek hitelesítő adatokat gyűjtenek, amelyeket aztán újra felhasználnak a kezdeti hálózati hozzáférés megszerzéséhez.

A megfigyelt főbb technikák és infrastruktúra a következők:

  • SOCKS proxy DLL telepítése a távoli hozzáférés és parancsok végrehajtásának engedélyezéséhez.
  • A ScreenConnect visszaélésszerű használata felderítő parancsok és hálózati szkennelő eszközök futtatásához az oldalirányú mozgású célpontok felkutatásához.
  • Veeam biztonsági mentési rendszerek célzása a biztonsági mentési hitelesítő adatok kinyeréséhez több adatbázisból.
  • Az eskle.sys illesztőprogram használata BYOVD támadásokban a biztonsági szoftverek semlegesítéséhez és a védelmi folyamatok leállításához.
  • PuTTY SSH kliensek telepítése a Linux gazdagépekbe való laterális áthelyezéshez.
  • SOCKS proxy példányok futtatása különböző könyvtárakban a COROXY hátsó ajtón keresztüli C2 forgalom obfuszkálása érdekében.
  • A WinSCP használata a Linux zsarolóvírus bináris fájl Windows rendszerekre való átviteléhez.
  • A Splashtop Remote SRManager.exe fájljának kihasználásával a Linux zsarolóvírus bináris fájlja közvetlenül Windows gépeken futtatható.

Többplatformos hatás és virtualizációs célzás

A Linux bináris fájl többplatformos képességet biztosít: egyetlen hasznos adat egy környezetben Linux és Windows rendszereket is érinthet. A közelmúltban frissítették a Qilin mintákat a Nutanix AHV környezetek észlelésére, ami azt mutatja, hogy a csoport a hagyományos VMware telepítéseken túl a modern hiperkonvergált infrastruktúrák célzását is kiterjeszti.

Összefoglalás

A Qilin művelete a hitelesítő adatok ellopását, a legitim adminisztrációs eszközök visszaélését, a BYOVD technikákat, a biztonsági mentési rendszerek elleni célzott támadásokat és a platformfüggetlen zsarolóvírusokat ötvözi a hatás maximalizálása és az észlelés elkerülése érdekében. A védelmi szerveknek prioritásként kell kezelniük a hitelesítő adatok higiéniáját, a távoli hozzáférési felületeken a többtényezős hitelesítést, a biztonsági mentési rendszerek szegmentálását, a legitim távfelügyeleti eszközök rendellenes használatának szigorú monitorozását, valamint az illesztőprogram-alapú BYOVD tevékenységek észlelésére szolgáló ellenőrzéseket. Ezek az intézkedések csökkentik annak valószínűségét, hogy a beszerzett hitelesítő adatok vagy egyetlen kompromittálási pont teljes körű zsarolóvírus-telepítéshez vezessen.

Felkapott

FIGYELMEZTETÉS: RENDSZERERŐFORRÁS-SZIVÁRGÁSOS Csalás

Adathalászat, Spam
Kiberbiztonsági kutatók azonosítottak egy „FIGYELMEZTETÉS: RENDSZERERŐFORRÁS-SZIVÁRGÁS” néven ismert csalárd rendszert, amely hamis rendszerriasztásokat használ a felhasználók félrevezetésére. Bár a rendszer mögött álló oldal egy legitim alkalmazást népszerűsít, az ijesztésen alapuló kézbesítési módszer megtévesztő, és úgy tervezték, hogy manipulálja a felhasználókat, félelemből cselekedjenek....

Legnézettebb

Betöltés...