Qilin išpirkos reikalaujančių programų grupė
„Qilin“ (taip pat žinoma kaip „Agenda“, „Gold Feather“ ir „Water Galura“) tapo viena produktyviausių išpirkos reikalaujančių programų kaip paslaugos (RaaS) operacijų, veikiančių šiandien. Nuo 2025 m. pradžios grupė paskelbdavo daugiau nei 40 aukų per mėnesį (vienintelė išimtis buvo sausis), o birželį užfiksuodavo maždaug 100 nutekėjimo svetainių įrašų, o 2025 m. rugpjūtį ir rugsėjį – po 84 aukas. „Qilin“, veikianti maždaug nuo 2022 m. liepos mėn., dėl savo tempo ir taktikos yra didelės rizikos veikėja įmonėms visame pasaulyje.
Turinys
Kas buvo nuniokotas – geografija ir pramonės šakos
Incidentų telemetrijos analizė rodo, kad Qilin aukos daugiausia yra Šiaurės Amerikoje ir Vakarų Europoje, o labiausiai nukentėjusios šalys yra Jungtinės Valstijos, Kanada, Jungtinė Karalystė, Prancūzija ir Vokietija. Grupė pirmenybę teikia tam tikroms vertikalioms sritims: gamyba sudaro apie 23 % stebimų taikinių, profesinės ir mokslinės paslaugos – apie 18 %, o didmeninė prekyba – maždaug 10 %.
Pradinė prieiga ir ankstyvas įsitvirtinimas
Tyrėjai mano, kad daugelis „Qilin“ filialų įsilaužimų prasideda nuo nutekintų administratoriaus prisijungimo duomenų, gautų iš tamsiojo interneto saugyklų. Priešininkai naudoja šiuos prisijungimo duomenis prisijungdami per VPN sąsają ir tada užmezga RDP ryšius su domeno valdikliais ir kitais pažeistais galiniais taškais. Tada jie pereina prie aplinkos žemėlapių sudarymo ir gilesnės žvalgybos.
Įgaliojimų rinkimas ir įrankių naudojimas
„Qilin“ kampanijose plačiai naudojami kredencialų rinkimo įrankiai ir metodai. Operatoriai ir filialai naudoja „Mimikatz“ kartu su tokiomis programomis kaip „WebBrowserPassView.exe“, „BypassCredGuard.exe“ ir „SharpDecryptPwd“, kad iš naršyklių, sistemos saugyklų ir kitų programų ištrauktų slaptus duomenis. Surinkti kredencialai yra perkeliami į išorinius SMTP serverius naudojant „Visual Basic“ scenarijus. Praktiškai pastebėtas „Mimikatz“ naudojimas apėmė veiksmus, skirtus:
- išvalyti „Windows“ įvykių žurnalus ir kitaip ištrinti pėdsakus;
- įgalinti „SeDebugPrivilege“;
- išgauti išsaugotus „Chrome“ slaptažodžius iš „SQLite“ duomenų bazių;
- atkurti ankstesnių prisijungimų duomenis ir
- rinkti RDP, SSH ir „Citrix“ konfigūraciją ir prisijungimo duomenis.
Gyvenimas iš natūros ir piktnaudžiavimas teisėtais įrankiais
Grėsmių kūrėjai derina akivaizdžią kenkėjišką programinę įrangą su teisėtomis sistemos priemonėmis ir gerai žinomais administratoriaus įrankiais, kad įsilietų į aplinką. Buvo pastebėta, kaip jie atidaro failus naudodami „mspaint.exe“, „notepad.exe“ ir „iexplore.exe“, kad rankiniu būdu patikrintų turinį, ar jame nėra jautrios informacijos, ir naudoja patikimą „Cyberduck“ klientą, kad perkeltų pasirinktus failus į nuotolinius serverius, slėpdami kenkėjiškus ketinimus.
Kaip panaudojami pavogti įgaliojimai
Gavę prisijungimo duomenis, „Qilin“ veikėjai suteikia vis daugiau teisių ir jas skleidžia horizontaliai. Padidinta prieiga buvo naudojama diegiant įvairius nuotolinio stebėjimo ir valdymo (RMM) bei nuotolinės prieigos produktus – „AnyDesk“, „Chrome Remote Desktop“, „Distant Desktop“, „GoToDesk“, „QuickAssist“ ir „ScreenConnect“, nors tyrėjai (Talos) ne visada galėjo nustatyti, ar kiekvienas produktas buvo naudojamas pirmiausia horizontaliam judėjimui, ar nuolatiniam nuotoliniam valdymui.
Slaptavimas, atkaklumas ir posteksploatavimas
Siekdami išvengti aptikimo, užpuolikai vykdo „PowerShell“ sekas, kurios išjungia AMSI, išjungia TLS sertifikatų patvirtinimą ir įjungia riboto administratoriaus režimą. Jie taip pat diegia „kill-switch“ tipo įrankius, tokius kaip „dark-kill“ ir „HRSword“, kad nutrauktų saugos produktų veikimą. Nuolatiniam veikimui ir slaptam vadovavimui bei valdymui jie naudoja „Cobalt Strike“ ir „SystemBC“.
Išpirkos reikalaujančių programų diegimas ir valymas
Paskutinis etapas – „Qilin“ išpirkos reikalaujančios programinės įrangos diegimas: failai užšifruojami, išpirkos rašteliai įkeliami į užšifruotus aplankus, ištrinami „Windows“ įvykių žurnalai ir visos šešėlinės kopijos, kurias sukūrė „Volume Shadow Copy Service“ (VSS), ištrinamos, siekiant apsunkinti atkūrimo pastangas.
Išplėstinės hibridinių atakų grandinės („Linux“ dvejetainis failas sistemoje „Windows“ + BYOVD)
Kai kuriuose sudėtinguose „Qilin“ incidentuose buvo derinamos kelios pažangios technikos. Operatoriai dislokavo „Linux“ kompiliuotą išpirkos reikalaujančios programinės įrangos dvejetainį failą, tačiau vykdė jį „Windows“ pagrindiniuose kompiuteriuose, sujungė tą paketą su „atsineškite savo pažeidžiamą tvarkyklę“ (BYOVD) metodu, kad išjungtų apsaugą, ir naudojo teisėtus IT valdymo įrankius, kad judėtų aplinkoje ir vykdytų paketus. Šių atakų metu pažeidžiamas tvarkyklės komponentas buvo eskle.sys tvarkyklė, naudojama saugumo kontrolei išjungti, procesams nutraukti ir aptikimui išvengti.
Atsarginis taikinių nustatymas ir pritaikyta kredencialų vagystė
„Qilin“ konkrečiai taikėsi į „Veeam“ atsarginių kopijų infrastruktūrą. Užpuolikai, naudodami specializuotus kredencialų išgavimo įrankius atsarginių kopijų duomenų bazėse, siekdami išgauti kredencialus, sistemingai kenkdami organizacijų atkūrimo po nelaimių platformoms prieš paleisdami išpirkos reikalaujančią programinę įrangą, taip gerokai padidindami nukentėjusių aukų riziką.
Sukčiavimas apsimetant ir netikra CAPTCHA pristatymo mechanizmai
Be teisėto paskyros piktnaudžiavimo, kai kurie įsilaužimai prasidėjo nuo tikslinio sukčiavimo arba „ClickFix“ stiliaus netikrų CAPTCHA puslapių, talpinamų „Cloudflare R2“. Atrodo, kad šie puslapiai pateikia informaciją vagiančius naudinguosius duomenis, kurie renka prisijungimo duomenis, o vėliau pakartotinai naudojami norint gauti pradinę prieigą prie tinklo.
Pagrindiniai pastebėti metodai ir infrastruktūra:
- SOCKS tarpinio serverio DLL diegimas, siekiant įgalinti nuotolinę prieigą ir komandų vykdymą.
- Piktnaudžiaujama „ScreenConnect“ funkcija, siekiant paleisti aptikimo komandas ir tinklo nuskaitymo įrankius, kad būtų surasti šoninio judėjimo taikiniai.
- „Veeam“ atsarginių kopijų sistemų taikymas, siekiant išgauti atsarginių kopijų kredencialus iš kelių duomenų bazių.
- Naudojant „eskle.sys“ tvarkyklę BYOVD atakose, siekiant neutralizuoti saugos programinę įrangą ir nutraukti gynybinius procesus.
- „PuTTY SSH“ klientų diegimas, siekiant perkelti duomenis į „Linux“ pagrindinius kompiuterius.
- SOCKS tarpinio serverio egzempliorių paleidimas skirtinguose kataloguose, siekiant užmaskuoti C2 srautą per COROXY galines duris.
- Naudojant „WinSCP“, norint perkelti „Linux“ išpirkos reikalaujančios programinės įrangos dvejetainį failą į „Windows“ sistemas.
- Pasinaudojant „Splashtop Remote“ SRManager.exe, norint tiesiogiai vykdyti „Linux“ išpirkos reikalaujančios programinės įrangos dvejetainį failą „Windows“ kompiuteriuose.
Įvairių platformų poveikio ir virtualizacijos taikymas
„Linux“ dvejetainis failas suteikia kelių platformų galimybę: vienas paketas gali paveikti ir „Linux“, ir „Windows“ sistemas toje pačioje aplinkoje. Visai neseniai buvo atnaujinti „Qilin“ pavyzdžiai, kad būtų galima aptikti „Nutanix AHV“ aplinkas, o tai rodo, kad grupė plečia taikinį ne tik tradiciniuose „VMware“ diegimuose, bet ir šiuolaikinėse hiperkonverguotose infrastruktūrose.
Santrauka
„Qilin“ operacija apjungia kredencialų vagystę, teisėtų administratoriaus įrankių piktnaudžiavimą, BYOVD metodus, tikslines atakas prieš atsarginių kopijų sistemas ir išpirkos reikalaujančias programas keliose platformose, siekiant maksimaliai padidinti poveikį ir išvengti aptikimo. Gynėjai turėtų teikti pirmenybę kredencialų higienai, daugiafaktoriniam autentifikavimui nuotolinės prieigos sąsajose, atsarginių kopijų sistemų segmentavimui, griežtai stebėsenai, siekiant nustatyti teisėtų nuotolinio valdymo įrankių anomalų naudojimą, ir kontrolei, skirtai aptikti tvarkyklių pagrindu veikiančią BYOVD veiklą. Šios priemonės sumažina tikimybę, kad gauti kredencialai arba vienas pažeidimo taškas lems plataus masto išpirkos reikalaujančių programų diegimą.
