Група за рансомвер Килина

Qilin (такође праћен као Agenda, Gold Feather и Water Galura) је еволуирао у једну од најплоднијих RaaS (Ransomware-as-a-Service) операција активних данас. Од почетка 2025. године група је објављивала више од 40 жртава месечно (јануар је био једини изузетак), достигавши врхунац од око 100 улазака на сајтове за цурење у јуну и забележивши по 84 жртве у августу и септембру 2025. Активан од око јула 2022. године, Qilinov темпо и тактике чине га актером високог ризика за предузећа широм света.

Ко је погођен - Географија и индустрије

Анализа телеметрије инцидената показује да су жртве Ћилина концентрисане у Северној Америци и Западној Европи, а Сједињене Америчке Државе, Канада, Уједињено Краљевство, Француска и Немачка су међу најпогођенијим земљама. Група фаворизује одређене вертикале: производња чини око 23% посматраних мета, професионалне и научне услуге око 18%, а велепродајна трговина око 10%.

Почетни приступ и рано учвршћивање

Истражитељи верују да многи упади у компаније Qilin почињу цурењем администраторских акредитива добијених из складишта на дарк вебу. Противници користе те акредитиве за пријављивање путем VPN интерфејса, а затим успостављају RDP везе са контролерима домена и другим угроженим крајњим тачкама. Одатле прелазе на мапирање окружења и дубље извиђање.

Прикупљање акредитива и алати

Qilin кампање интензивно користе алате и технике за прикупљање акредитива. Оператори и њихови филијали покрећу Mimikatz заједно са услужним програмима као што су WebBrowserPassView.exe, BypassCredGuard.exe и SharpDecryptPwd како би извукли тајне из прегледача, системских складишта и других апликација. Прикупљени акредитиви се преносе на екстерне SMTP сервере помоћу Visual Basic скрипти. Употреба Mimikatz-а која је примећена у пракси укључивала је следеће радње:

• обрисати дневнике догађаја система Windows и на друге начине избрисати трагове;
• омогући SeDebugPrivilege;
• издвојити сачуване лозинке за Chrome из SQLite база података;
• опоравити акредитиве из претходних пријављивања; и
• прикупљање конфигурације и акредитива за RDP, SSH и Citrix.

Живот од земље и злоупотреба легитимних алата

Претње комбинују очигледан злонамерни софтвер са легитимним системским услужним програмима и добро познатим администраторским алатима како би се уклопили. Виђени су како отварају датотеке помоћу mspaint.exe, notepad.exe и iexplore.exe да би ручно прегледали садржај у потрази за осетљивим информацијама и користећи прави Cyberduck клијент за пренос одабраних датотека на удаљене сервере док крију злонамерну намеру.

Како се користе украдени акредитиви

Када се акредитиви прибаве, Qilin актери ескалирају привилегије и шире се латерално. Повишени приступ је коришћен за инсталирање разних производа за даљинско праћење и управљање (RMM) и даљински приступ — AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist и ScreenConnect — иако истраживачи (Talos) нису увек могли да утврде да ли је сваки производ првенствено коришћен за латерално кретање или за трајно даљинско управљање.

Избегавање, истрајност и пост-експлоатација

Да би избегли откривање, нападачи извршавају PowerShell секвенце које онемогућавају AMSI, искључују валидацију TLS сертификата и омогућавају режим ограниченог администратора. Такође користе услужне програме типа „kill-switch“ као што су „dark-kill“ и HRSword како би окончали безбедносне производе. За перзистентност и тајно командовање и контролу користе Cobalt Strike и SystemBC.

Примена и чишћење ransomware-а

Завршна фаза је распоређивање Qilin ransomware-а: датотеке се шифрују, белешке о откупу се стављају у шифроване фасцикле, евиденције догађаја Windows-а се бришу, а све копије у сенци које је креирала услуга Volume Shadow Copy Service (VSS) се бришу како би се онемогућили напори за опоравак.

Напредни хибридни ланци напада (Linux бинарни фајл на Windows-у + BYOVD)
Неки софистицирани Qilin инциденти комбиновали су неколико напредних техника. Оператори су распоредили бинарни ransomware компајлиран за Linux, али су га покренули на Windows хостовима, упарили тај корисни терет са техником „донеси свој рањиви драјвер“ (BYOVD) да би онемогућили одбрану и користили легитимне алате за управљање ИТ-ом за кретање кроз окружење и извршавање корисних теретова. У овим нападима, драјвер eskle.sys је примећен као рањива компонента драјвера која се користи за онемогућавање безбедносних контрола, заустављање процеса и избегавање откривања.

Циљање резервних копија и прилагођена крађа акредитива

Qilin је посебно циљао Veeam инфраструктуру за резервне копије. Нападачи су користили специјализоване алате за екстракцију акредитива из резервних база података како би прикупили акредитиве, систематски угрожавајући платформе за опоравак од катастрофе организација пре него што би објавили ransomware, значајно повећавајући ризик за погођене жртве.

Фишинг и механизми испоруке лажне CAPTCHA провере

Поред злоупотребе валидних налога, одређени упади су почели са фишингом или са лажним CAPTCHA страницама у стилу ClickFix-а хостованим на Cloudflare R2. Чини се да те странице испоручују корисне податке за крађу информација који прикупљају акредитиве, који се затим поново користе за добијање почетног приступа мрежи.

Кључне технике и инфраструктура које су посматране укључују:

• Имплементација SOCKS прокси DLL-а ради омогућавања удаљеног приступа и извршавања команди.
• Злоупотреба ScreenConnect-а за покретање команди за откривање и алата за скенирање мреже ради лоцирања циљева бочног кретања.
• Циљање Veeam система за резервне копије ради издвајања резервних акредитива из више база података.
• Коришћење драјвера eskle.sys у BYOVD нападима за неутрализацију безбедносног софтвера и прекид одбрамбених процеса.
• Распоређивање PuTTY SSH клијената за латерално премештање на Linux хостове.
• Покретање SOCKS прокси инстанци у различитим директоријумима ради маскирања C2 саобраћаја путем COROXY задњег врата.
• Коришћење WinSCP-а за премештање бинарног Linux ransomware-а на Windows системе.
• Коришћење SRManager.exe програма Splashtop Remote за директно извршавање бинарног програма ransomware за Linux на Windows машинама.

Вишеплатформски утицај и циљање виртуелизације

Линуксов бинарни фајл пружа могућности за више платформи: један корисни терет може утицати и на Линук и на Виндоус системе у једном окружењу. Недавно су ажурирани Qilin узорци како би детектовали Nutanix AHV окружења, што показује да група проширује циљање изван традиционалних VMware имплементација на модерне хиперконвергентне инфраструктуре.

Резиме

Килиново деловање комбинује крађу акредитива, злоупотребу легитимних администраторских алата, BYOVD технике, циљане нападе на системе за резервне копије и међуплатформски ransomware како би се максимизирао утицај и избегло откривање. Браниоци би требало да дају приоритет хигијени акредитива, вишефакторској аутентификацији на интерфејсима за даљински приступ, сегментацији система за резервне копије, ригорозном праћењу аномалне употребе легитимних алата за даљинско управљање и контролама за откривање BYOVD активности засноване на драјверима. Ове мере смањују вероватноћу да ће прикупљени акредитиви или једна тачка компромитовања довести до потпуног распоређивања ransomware-а.