Группа вымогателей Qilin
Qilin (также известная как Agenda, Gold Feather и Water Galura) превратилась в одну из самых активных на сегодняшний день группировок, предлагающих программы-вымогатели как услугу (RaaS). С начала 2025 года группировка ежемесячно выявляет более 40 жертв (исключение составил январь), достигнув пика в 100 записей о сайтах утечек в июне и 84 жертв в августе и сентябре 2025 года. Qilin действует примерно с июля 2022 года, и её темпы и тактика делают её высокорискованной для предприятий по всему миру.
Оглавление
Кто пострадал — география и отрасли
Анализ телеметрии инцидентов показывает, что жертвы Qilin сосредоточены в Северной Америке и Западной Европе, причем наиболее пострадавшими странами являются США, Канада, Великобритания, Франция и Германия. Группа отдает предпочтение определенным вертикалям: на обрабатывающую промышленность приходится около 23% наблюдаемых целей, на профессиональные и научные услуги — около 18%, а на оптовую торговлю — около 10%.
Первоначальный доступ и раннее закрепление
Следователи полагают, что многие атаки на дочерние компании Qilin начинаются с утечки административных учётных данных, полученных из репозиториев даркнета. Злоумышленники используют эти учётные данные для входа через VPN-интерфейс, а затем устанавливают RDP-подключения к контроллерам домена и другим скомпрометированным конечным точкам. После этого они переходят к картографированию среды и более глубокой разведке.
Сбор и обработка учетных данных
В кампаниях Qilin широко используются инструменты и методы сбора учётных данных. Операторы и аффилированные лица используют Mimikatz вместе с такими утилитами, как WebBrowserPassView.exe, BypassCredGuard.exe и SharpDecryptPwd, для извлечения секретных данных из браузеров, системных хранилищ и других приложений. Собранные учётные данные передаются на внешние SMTP-серверы с помощью скриптов Visual Basic. Зафиксированное в реальных условиях использование Mimikatz включало следующие действия:
- очистить журналы событий Windows и иным образом стереть следы;
- включить SeDebugPrivilege;
- извлечь сохраненные пароли Chrome из баз данных SQLite;
- восстановить учетные данные из предыдущих входов в систему; и
- собрать конфигурацию и учетные данные для RDP, SSH и Citrix.
Жизнь за пределами земли и злоупотребление законными инструментами
Чтобы не привлекать к себе внимание, злоумышленники смешивают очевидное вредоносное ПО с легитимными системными утилитами и известными инструментами администратора. Было замечено, что они открывают файлы с помощью mspaint.exe, notepad.exe и iexplore.exe, чтобы вручную проверить содержимое на наличие конфиденциальной информации, а также используют настоящий клиент Cyberduck для передачи выбранных файлов на удаленные серверы, скрывая при этом вредоносные намерения.
Как используются украденные учетные данные
Получив учётные данные, злоумышленники Qilin повышают привилегии и начинают горизонтальное распространение. Повышенный уровень доступа использовался для установки различных продуктов удалённого мониторинга и управления (RMM) и удалённого доступа — AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist и ScreenConnect, — хотя исследователям (Talos) не всегда удавалось определить, использовался ли каждый продукт в первую очередь для горизонтального перемещения или для постоянного удалённого управления.
Уклонение, настойчивость и постэксплуатация
Чтобы избежать обнаружения, злоумышленники выполняют последовательности PowerShell, которые отключают AMSI, отключают проверку сертификатов TLS и включают режим ограниченного администрирования. Они также используют утилиты аварийного отключения, такие как dark-kill и HRSword, для прерывания работы продуктов безопасности. Для обеспечения устойчивости и скрытого управления они используют Cobalt Strike и SystemBC.
Развертывание и очистка от программ-вымогателей
Заключительный этап — развертывание вируса-вымогателя Qilin: файлы шифруются, записки с требованием выкупа помещаются в зашифрованные папки, журналы событий Windows очищаются, а все теневые копии, созданные службой теневого копирования томов (VSS), удаляются, чтобы помешать восстановлению.
Расширенные гибридные цепочки атак (бинарный код Linux на Windows + BYOVD)
Некоторые сложные инциденты Qilin сочетали в себе несколько передовых техник. Операторы разворачивали скомпилированный для Linux двоичный файл программы-вымогателя, но запускали его на хостах Windows, сочетали эту полезную нагрузку с техникой «принеси свой уязвимый драйвер» (BYOVD) для отключения защиты и использовали легитимные инструменты IT-управления для перемещения по среде и выполнения полезных нагрузок. В этих атаках драйвер eskle.sys был обнаружен как уязвимый компонент драйвера, используемый для отключения средств безопасности, завершения процессов и уклонения от обнаружения.
Резервное копирование и кража учетных данных
Цилин целенаправленно атаковал инфраструктуру резервного копирования Veeam. Злоумышленники использовали специализированные инструменты извлечения учётных данных из резервных копий баз данных, систематически взламывая платформы аварийного восстановления организаций, а затем внедряя программы-вымогатели, что значительно повысило риски для пострадавших.
Механизмы доставки фишинга и поддельной CAPTCHA
Помимо злоупотреблений с учётными записями, некоторые атаки начинались с фишинга или использования поддельных страниц CAPTCHA в стиле ClickFix, размещённых на Cloudflare R2. Эти страницы, по всей видимости, содержат вредоносные коды для кражи информации, собирающие учётные данные, которые затем используются для получения первоначального доступа к сети.
Основные рассмотренные методы и инфраструктура включают:
- Развертывание DLL-библиотеки прокси SOCKS для обеспечения удаленного доступа и выполнения команд.
- Использование ScreenConnect для запуска команд обнаружения и инструментов сканирования сети с целью обнаружения целей бокового перемещения.
- Нацеливание систем резервного копирования Veeam на извлечение учетных данных резервного копирования из нескольких баз данных.
- Использование драйвера eskle.sys в атаках BYOVD для нейтрализации программного обеспечения безопасности и завершения защитных процессов.
- Развертывание клиентов PuTTY SSH для горизонтального перемещения на хосты Linux.
- Запуск экземпляров прокси-сервера SOCKS в разных каталогах для сокрытия трафика C2 через бэкдор COROXY.
- Использование WinSCP для переноса двоичного файла Linux-вымогателя в системы Windows.
- Использование SRManager.exe Splashtop Remote для запуска двоичного файла Linux-вымогателя непосредственно на компьютерах Windows.
Кроссплатформенное воздействие и таргетинг виртуализации
Двоичный файл Linux обеспечивает кроссплатформенность: одна и та же полезная нагрузка может поражать как системы Linux, так и Windows в одной среде. Недавно образцы Qilin были обновлены для обнаружения сред Nutanix AHV, что демонстрирует, что группа расширяет свою деятельность за пределы традиционных развертываний VMware, включая современные гиперконвергентные инфраструктуры.
Краткое содержание
Действия Qilin сочетают в себе кражу учётных данных, неправомерное использование легитимных инструментов администрирования, методы BYOVD, целевые атаки на системы резервного копирования и кроссплатформенные программы-вымогатели для максимального эффекта и предотвращения обнаружения. Защитникам следует уделять первостепенное внимание гигиене учётных данных, многофакторной аутентификации на интерфейсах удалённого доступа, сегментации систем резервного копирования, тщательному мониторингу аномального использования легитимных инструментов удалённого управления и средствам контроля для обнаружения активности BYOVD с использованием драйверов. Эти меры снижают вероятность того, что украденные учётные данные или единственная точка компрометации приведут к полномасштабному развертыванию программы-вымогателя.
