Skupina za izsiljevalsko programsko opremo Qilin

Qilin (spremljan tudi kot Agenda, Gold Feather in Water Galura) se je razvil v eno najbolj produktivnih operacij izsiljevalske programske opreme kot storitve (RaaS), ki so danes aktivne. Od začetka leta 2025 skupina beleži več kot 40 žrtev na mesec (januar je bil edina izjema), vrhunec pa je dosegla junija s približno 100 vnosi na spletna mesta uhajanja, avgusta in septembra 2025 pa je zabeležila po 84 žrtev. Qilinova aktivnost sega približno od julija 2022, zaradi hitrosti in taktike pa je zelo tvegan akter za podjetja po vsem svetu.

Kdo je bil prizadet - geografija in panoge

Analiza telemetrije incidentov kaže, da so žrtve Qilina skoncentrirane v Severni Ameriki in Zahodni Evropi, pri čemer so Združene države Amerike, Kanada, Združeno kraljestvo, Francija in Nemčija med najbolj prizadetimi državami. Skupina daje prednost določenim vertikalam: proizvodnja predstavlja približno 23 % opazovanih tarč, strokovne in znanstvene storitve približno 18 %, veleprodaja pa približno 10 %.

Začetni dostop in zgodnja uveljavitev

Preiskovalci menijo, da se številni vdori v Qilinove podružnice začnejo z uhajanjem skrbniških poverilnic, pridobljenih iz repozitorijev temnega spleta. Nasprotniki te poverilnice uporabijo za prijavo prek vmesnika VPN in nato vzpostavijo povezave RDP s krmilniki domen in drugimi ogroženimi končnimi točkami. Od tam se lotijo kartiranja okolja in poglobljenega izvidovanja.

Pridobivanje poverilnic in orodja

Kampanje Qilin v veliki meri uporabljajo orodja in tehnike za pridobivanje poverilnic. Operaterji in podružnice uporabljajo Mimikatz skupaj s pripomočki, kot so WebBrowserPassView.exe, BypassCredGuard.exe in SharpDecryptPwd, za pridobivanje skrivnosti iz brskalnikov, sistemskih shramb in drugih aplikacij. Pridobljene poverilnice se s pomočjo skriptov Visual Basic prenesejo na zunanje strežnike SMTP. Uporaba Mimikatza, ki smo jo opazili v praksi, je vključevala dejanja za:

• počisti dnevnike dogodkov sistema Windows in izbriši sledi;
• omogoči SeDebugPrivilege;
• izvleči shranjena gesla za Chrome iz podatkovnih baz SQLite;
• obnoviti poverilnice iz prejšnjih prijav; in
• pridobivanje konfiguracije in poverilnic za RDP, SSH in Citrix.

Življenje od zemlje in zloraba legitimnih orodij

Grožnje mešajo očitno zlonamerno programsko opremo z legitimnimi sistemskimi pripomočki in dobro znanimi skrbniškimi orodji, da se zlijejo z okolico. Opazili so jih, kako odpirajo datoteke z mspaint.exe, notepad.exe in iexplore.exe za ročno preverjanje vsebine za občutljive informacije ter uporabljajo verodostojni odjemalec Cyberduck za prenos izbranih datotek na oddaljene strežnike, pri čemer prikrivajo zlonamerne namene.

Kako se izkoriščajo ukradene poverilnice

Ko so poverilnice v rokah, akterji Qilina stopnjujejo privilegije in se širijo lateralno. Povečan dostop je bil uporabljen za namestitev različnih izdelkov za oddaljeno spremljanje in upravljanje (RMM) ter oddaljeni dostop – AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist in ScreenConnect – čeprav raziskovalci (Talos) niso mogli vedno ugotoviti, ali je bil vsak izdelek uporabljen predvsem za lateralno premikanje ali za trajno daljinsko upravljanje.

Izogibanje, vztrajanje in post-izkoriščanje

Da bi se izognili odkrivanju, napadalci izvajajo zaporedja PowerShella, ki onemogočijo AMSI, izklopijo preverjanje potrdil TLS in omogočijo način omejenega skrbništva. Za prekinitev varnostnih izdelkov uporabljajo tudi pripomočke v slogu kill-switch, kot sta dark-kill in HRSword. Za vztrajnost in prikrito upravljanje in nadzor uporabljajo Cobalt Strike in SystemBC.

Namestitev in čiščenje izsiljevalske programske opreme

Zadnja faza je namestitev izsiljevalske programske opreme Qilin: datoteke so šifrirane, sporočila o odkupnini so shranjena v šifriranih mapah, dnevniki dogodkov sistema Windows so izbrisani, vse senčne kopije, ki jih je ustvarila storitev Volume Shadow Copy Service (VSS), pa so izbrisane, da se preprečijo prizadevanja za obnovitev.

Napredne hibridne napadalne verige (binarna datoteka Linux na Windows + BYOVD)
Nekateri sofisticirani incidenti Qilin so kombinirali več naprednih tehnik. Operaterji so namestili binarno datoteko izsiljevalske programske opreme, prevedeno v Linux, vendar so jo izvedli na gostiteljih z operacijskim sistemom Windows, ta koristni naklad združili s tehniko »prinesi svoj ranljiv gonilnik« (BYOVD) za onemogočanje obrambe in uporabili legitimna orodja za upravljanje IT za premikanje po okolju in izvajanje koristnih naklad. V teh napadih je bil gonilnik eskle.sys opažen kot ranljiva komponenta gonilnika, ki se uporablja za onemogočanje varnostnih kontrol, ubijanje procesov in izogibanje odkrivanju.

Ciljno iskanje rezervnih kopij in prilagojena kraja poverilnic

Qilin je posebej ciljal na varnostno infrastrukturo Veeam. Napadalci so uporabili specializirana orodja za ekstrakcijo poverilnic iz varnostnih kopij baz podatkov, da bi jih pridobili, in sistematično ogrozili platforme organizacij za obnovo po katastrofi, preden so namestili izsiljevalsko programsko opremo, kar je znatno povečalo tveganje za prizadete žrtve.

Mehanizmi za lažno predstavljanje in dostavo lažnih CAPTCHA

Poleg veljavne zlorabe računov so se nekateri vdori začeli s spear phishingom ali s ponarejenimi stranmi CAPTCHA v slogu ClickFix, ki so bile gostovane na Cloudflare R2. Zdi se, da te strani dostavljajo koristne podatke za krajo informacij, ki zbirajo poverilnice, ki se nato ponovno uporabijo za pridobitev začetnega dostopa do omrežja.

Ključne opažene tehnike in infrastruktura vključujejo:

• Uvajanje SOCKS proxy DLL za omogočanje oddaljenega dostopa in izvajanja ukazov.
• Zloraba ScreenConnecta za izvajanje ukazov za odkrivanje in orodij za omrežno skeniranje za iskanje ciljev bočnega gibanja.
• Ciljanje na varnostne sisteme Veeam za pridobivanje varnostnih kopij poverilnic iz več baz podatkov.
• Uporaba gonilnika eskle.sys v napadih BYOVD za nevtralizacijo varnostne programske opreme in prekinitev obrambnih procesov.
• Uvajanje odjemalcev PuTTY SSH za lateralni prehod na gostitelje Linux.
• Izvajanje instanc proxyja SOCKS v različnih imenikih za prikrivanje prometa C2 prek zadnjih vrat COROXY.
• Uporaba WinSCP za prenos binarne datoteke izsiljevalske programske opreme Linux na sisteme Windows.
• Uporaba SRManager.exe programa Splashtop Remote za neposredno izvajanje binarne datoteke izsiljevalske programske opreme za Linux na računalnikih z operacijskim sistemom Windows.

Medplatformski vpliv in ciljanje virtualizacije

Binarna datoteka Linux omogoča delovanje na več platformah: en sam koristni bremen lahko vpliva na sisteme Linux in Windows v istem okolju. Pred kratkim so bili vzorci Qilina posodobljeni za zaznavanje okolij Nutanix AHV, kar dokazuje, da skupina širi ciljno usmerjenost onkraj tradicionalnih uvajanj VMware v sodobne hiperkonvergentne infrastrukture.

Povzetek

Qilinovo delovanje združuje krajo poverilnic, zlorabo legitimnih skrbniških orodij, tehnike BYOVD, ciljno usmerjene napade na varnostne kopije sistemov in medplatformsko izsiljevalsko programsko opremo, da bi se povečal učinek in se izognili odkritju. Zagovorniki bi morali dati prednost higieni poverilnic, večfaktorski avtentikaciji na vmesnikih za oddaljeni dostop, segmentaciji varnostnih kopij sistemov, strogemu spremljanju nepravilne uporabe legitimnih orodij za oddaljeno upravljanje in nadzoru za odkrivanje dejavnosti BYOVD, ki temelji na gonilnikih. Ti ukrepi zmanjšujejo verjetnost, da bi pridobljene poverilnice ali ena sama točka ogrožanja vodile do obsežne uvedbe izsiljevalske programske opreme.