Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ransomware Qilin izspiedējvīrusu grupa

Qilin izspiedējvīrusu grupa

Līdz Mezo. gadam Ransomware, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Qilin (pazīstama arī kā Agenda, Gold Feather un Water Galura) ir kļuvusi par vienu no ražīgākajām Ransomware-as-a-Service (RaaS) operācijām, kas darbojas arī mūsdienās. Kopš 2025. gada sākuma grupa ir publicējusi vairāk nekā 40 upurus mēnesī (vienīgais izņēmums bija janvāris), sasniedzot maksimumu ar aptuveni 100 noplūdes vietņu ierakstiem jūnijā un reģistrējot 84 upurus gan augustā, gan septembrī. Qilin, kas ir aktīva aptuveni kopš 2022. gada jūlija, temps un taktika padara to par augsta riska dalībnieku uzņēmumiem visā pasaulē.

Kuru skāra — ģeogrāfija un nozares

Incidentu telemetrijas analīze liecina, ka Cjiliņas upuri ir koncentrēti Ziemeļamerikā un Rietumeiropā, un starp visvairāk skartajām valstīm ir Amerikas Savienotās Valstis, Kanāda, Apvienotā Karaliste, Francija un Vācija. Grupa dod priekšroku noteiktām vertikālēm: ražošana veido aptuveni 23% no novērotajiem mērķiem, profesionālie un zinātniskie pakalpojumi aptuveni 18% un vairumtirdzniecība aptuveni 10%.

Sākotnējā piekļuve un agrīna pozīcija

Izmeklētāji uzskata, ka daudzi Qilin filiāļu ielaušanās gadījumi sākas ar nopludinātiem administratora akreditācijas datiem, kas iegūti no tumšā tīmekļa krātuvēm. Uzbrucēji izmanto šos akreditācijas datus, lai pieteiktos, izmantojot VPN saskarni, un pēc tam izveidotu RDP savienojumus ar domēna kontrolleriem un citiem apdraudētiem galapunktiem. Pēc tam viņi pāriet uz vides kartēšanu un padziļinātu izlūkošanu.

Akreditācijas datu apkopošana un rīku izstrāde

Qilin kampaņas plaši izmanto akreditācijas datu ievākšanas rīkus un metodes. Operatori un filiāles darbina Mimikatz kopā ar tādām utilītprogrammām kā WebBrowserPassView.exe, BypassCredGuard.exe un SharpDecryptPwd, lai izgūtu slepenos datus no pārlūkprogrammām, sistēmas krātuvēm un citām lietojumprogrammām. Iegūtie akreditācijas dati tiek eksfiltrēti uz ārējiem SMTP serveriem, izmantojot Visual Basic skriptus. Mimikatz lietojumā, kas novērots praksē, bija iekļautas darbības, lai:

  • notīrīt Windows notikumu žurnālus un citādi dzēst pēdas;
  • iespējot SeDebugPrivilege;
  • iegūt saglabātās Chrome paroles no SQLite datubāzēm;
  • atgūt akreditācijas datus no iepriekšējām pieteikšanās reizēm; un
  • Apkopot RDP, SSH un Citrix konfigurāciju un akreditācijas datus.

Dzīvošana ārpus zemes un likumīgu rīku ļaunprātīga izmantošana

Draudu izpildītāji apvieno acīmredzamu ļaunprogrammatūru ar likumīgām sistēmas utilītprogrammām un labi zināmiem administrēšanas rīkiem, lai iekļautos vidē. Ir redzēts, kā viņi atver failus ar mspaint.exe, notepad.exe un iexplore.exe, lai manuāli pārbaudītu saturu, meklējot sensitīvu informāciju, un izmanto īstu Cyberduck klientu, lai pārsūtītu izvēlētos failus uz attāliem serveriem, slēpjot ļaunprātīgu nodomu.

Kā tiek izmantotas nozagtas akreditācijas

Kad akreditācijas dati ir iegūti, Qilin dalībnieki paplašina privilēģijas un izplata tās horizontāli. Paaugstināta piekļuve ir izmantota, lai instalētu dažādus attālās uzraudzības un pārvaldības (RMM) un attālās piekļuves produktus — AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist un ScreenConnect —, lai gan pētnieki (Talos) ne vienmēr varēja noteikt, vai katrs produkts galvenokārt tika izmantots horizontālai kustībai vai pastāvīgai attālinātai vadībai.

Izvairīšanās, neatlaidība un ekspluatācija pēc tās beigām

Lai izvairītos no atklāšanas, uzbrucēji izpilda PowerShell secības, kas atspējo AMSI, izslēdz TLS sertifikātu validāciju un iespējo ierobežota administratora režīmu. Viņi arī izmanto kill-switch stila utilītas, piemēram, dark-kill un HRSword, lai pārtrauktu drošības produktu darbību. Pastāvības un slepenas komandvadības nodrošināšanai viņi izmanto Cobalt Strike un SystemBC.

Izspiedējvīrusu izvietošana un tīrīšana

Pēdējais posms ir Qilin izspiedējvīrusa izvietošana: faili tiek šifrēti, izpirkuma piezīmes tiek ievietotas šifrētās mapēs, Windows notikumu žurnāli tiek dzēsti un visas ēnu kopijas, ko izveidojis Volume Shadow Copy Service (VSS), tiek dzēstas, lai kavētu atkopšanas centienus.

Uzlabotas hibrīduzbrukumu ķēdes (Linux binārais fails operētājsistēmā Windows + BYOVD)
Dažos sarežģītos Qilin incidentos ir apvienotas vairākas progresīvas metodes. Operatori ir izvietojuši Linux kompilētu izspiedējvīrusa bināro failu, bet izpildījuši to Windows resursdatoros, savienojuši šo vērtumu ar “savu ievainojamo draiveri” (BYOVD) metodi, lai atspējotu aizsardzību, un izmantojuši likumīgus IT pārvaldības rīkus, lai pārvietotos vidē un izpildītu vērtumu. Šajos uzbrukumos eskle.sys draiveris tika novērots kā ievainojams draivera komponents, ko izmanto, lai atspējotu drošības kontroles, apturētu procesus un izvairītos no atklāšanas.

Rezerves mērķauditorijas atlasīšana un pielāgota akreditācijas datu zādzība

Qilin ir īpaši vērsies pret Veeam dublēšanas infrastruktūru. Uzbrucēji izmantoja specializētus akreditācijas datu ieguves rīkus dublēšanas datubāzēs, lai iegūtu akreditācijas datus, sistemātiski apdraudot organizāciju katastrofu atkopšanas platformas pirms izspiedējvīrusa ieviešanas, ievērojami palielinot risku cietušajiem.

Pikšķerēšanas un viltotu CAPTCHA piegādes mehānismi

Papildus derīgai kontu ļaunprātīgai izmantošanai, daži ielaušanās gadījumi sākās ar mērķtiecīgu pikšķerēšanu vai ClickFix stila viltotām CAPTCHA lapām, kas tiek mitinātas Cloudflare R2 platformā. Šķiet, ka šīs lapas piegādā informācijas zagļu vērtumus, kas ievāc akreditācijas datus, kurus pēc tam atkārtoti izmanto, lai iegūtu sākotnējo piekļuvi tīklam.

Galvenās novērotās metodes un infrastruktūra ietver:

  • SOCKS starpniekservera DLL izvietošana, lai iespējotu attālo piekļuvi un komandu izpildi.
  • ScreenConnect ļaunprātīga izmantošana, lai palaistu noteikšanas komandas un tīkla skenēšanas rīkus sānu kustības mērķu atrašanai.
  • Veeam dublēšanas sistēmu mērķauditorijas atlasīšana, lai iegūtu dublēšanas akreditācijas datus no vairākām datubāzēm.
  • Izmantojot eskle.sys draiveri BYOVD uzbrukumos, lai neitralizētu drošības programmatūru un pārtrauktu aizsardzības procesus.
  • PuTTY SSH klientu izvietošana, lai laterāli pārvietotos uz Linux resursdatoriem.
  • SOCKS starpniekservera instanču palaišana dažādos direktorijos, lai maskētu C2 datplūsmu, izmantojot COROXY aizmugurējās durvis.
  • Izmantojot WinSCP, Linux izspiedējvīrusa bināro failu pārvietošana uz Windows sistēmām.
  • Izmantojot Splashtop Remote SRManager.exe, lai tieši Windows datoros izpildītu Linux izspiedējvīrusa bināro failu.

Starpplatformu ietekmes un virtualizācijas mērķauditorijas atlase

Linux binārais fails nodrošina starpplatformu iespējas: viena vērtuma slodze var ietekmēt gan Linux, gan Windows sistēmas vienā vidē. Pavisam nesen Qilin paraugi tika atjaunināti, lai noteiktu Nutanix AHV vides, parādot, ka grupa paplašina mērķauditorijas atlasi ārpus tradicionālajām VMware izvietošanām, iekļaujot modernas hiperkonverģētas infrastruktūras.

Kopsavilkums

Cjilinas operācija apvieno akreditācijas datu zādzību, likumīgu administratora rīku ļaunprātīgu izmantošanu, BYOVD metodes, mērķtiecīgus uzbrukumus dublēšanas sistēmām un starpplatformu izspiedējvīrusus, lai maksimāli palielinātu ietekmi un izvairītos no atklāšanas. Aizsargiem jāpiešķir prioritāte akreditācijas datu higiēnai, daudzfaktoru autentifikācijai attālās piekļuves saskarnēs, dublēšanas sistēmu segmentācijai, stingrai uzraudzībai attiecībā uz likumīgu attālās pārvaldības rīku anomālu izmantošanu un kontrolei, lai atklātu draiveru darbības BYOVD. Šie pasākumi samazina iespējamību, ka iegūti akreditācijas dati vai viens kompromitēšanas punkts novedīs pie pilna mēroga izspiedējvīrusu ieviešanas.

Tendences

BRĪDINĀJUMS: SISTĒMAS RESURSU NOPLŪDES krāpniecība

Pikšķerēšana, Mēstules
Kiberdrošības pētnieki ir identificējuši krāpniecisku shēmu, kas pazīstama kā “BRĪDINĀJUMS: SISTĒMAS RESURSU NOPLŪDE”, kurā tiek izmantoti viltoti sistēmas brīdinājumi, lai maldinātu lietotājus. Lai gan lapa, kas ir šīs shēmas pamatā, reklamē likumīgu lietojumprogrammu, tās uz iebiedēšanu balstītā piegādes metode ir maldinoša un paredzēta, lai manipulētu ar lietotājiem, liekot viņiem rīkoties...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
33,304
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...