Qilin Fidye Yazılımı Grubu

Qilin (Agenda, Gold Feather ve Water Galura olarak da takip edilir), günümüzde faaliyet gösteren en yaygın Fidye Yazılımı Hizmet Olarak (RaaS) operasyonlarından biri haline geldi. 2025'in başından bu yana grup, ayda 40'tan fazla kurban bildiriyor (tek istisna Ocak ayıydı), Haziran ayında yaklaşık 100 sızıntı sitesi kaydıyla zirveye ulaşırken, Ağustos ve Eylül 2025'in her birinde 84 kurban kaydetti. Temmuz 2022'den beri faaliyette olan Qilin'in hızı ve taktikleri, onu dünya çapındaki işletmeler için yüksek riskli bir aktör haline getiriyor.

Kimler Vuruldu - Coğrafya ve Endüstriler

Olay telemetrisi analizi, Qilin'in kurbanlarının Kuzey Amerika ve Batı Avrupa'da yoğunlaştığını ve en çok etkilenen ülkeler arasında Amerika Birleşik Devletleri, Kanada, Birleşik Krallık, Fransa ve Almanya'nın yer aldığını gösteriyor. Grup belirli sektörleri tercih ediyor: imalat, gözlemlenen hedeflerin yaklaşık %23'ünü, profesyonel ve bilimsel hizmetleri yaklaşık %18'ini ve toptan ticaret yaklaşık %10'unu oluşturuyor.

İlk Erişim ve Erken Dayanak

Araştırmacılar, Qilin'e bağlı birçok saldırının, karanlık ağ depolarından elde edilen sızdırılmış yönetici kimlik bilgileriyle başladığına inanıyor. Saldırganlar, bu kimlik bilgilerini kullanarak bir VPN arayüzü üzerinden oturum açıyor ve ardından etki alanı denetleyicilerine ve diğer ele geçirilmiş uç noktalara RDP bağlantıları gerçekleştiriyor. Buradan, ortam haritalama ve daha derinlemesine keşif aşamasına geçiyorlar.

Kimlik Bilgisi Toplama ve Araçları

Qilin kampanyaları, kimlik bilgisi toplama araç ve tekniklerinden kapsamlı bir şekilde yararlanır. Operatörler ve iştirakler, tarayıcılardan, sistem depolarından ve diğer uygulamalardan gizli bilgileri toplamak için Mimikatz'ı WebBrowserPassView.exe, BypassCredGuard.exe ve SharpDecryptPwd gibi yardımcı programlarla birlikte kullanır. Toplanan kimlik bilgileri, Visual Basic betikleri kullanılarak harici SMTP sunucularına aktarılır. Yaygın olarak gözlemlenen Mimikatz kullanımı şunları içerir:

• Windows olay günlüklerini temizleyin ve aksi takdirde izleri silin;
• SeDebugPrivilege'ı etkinleştir;
• SQLite veritabanlarından kaydedilmiş Chrome şifrelerini çıkarın;
• önceki oturum açmalardan kimlik bilgilerini kurtarın; ve
• RDP, SSH ve Citrix için hasat yapılandırması ve kimlik bilgileri.

Topraktan Geçim ve Meşru Araçların Kötüye Kullanımı

Tehdit aktörleri, göze çarpan kötü amaçlı yazılımları meşru sistem yardımcı programları ve iyi bilinen yönetim araçlarıyla birleştirerek ortama uyum sağlıyor. Hassas bilgileri manuel olarak incelemek için mspaint.exe, notepad.exe ve iexplore.exe ile dosyaları açtıkları ve kötü niyetli niyetlerini gizleyerek seçilen dosyaları uzak sunuculara aktarmak için gerçek Cyberduck istemcisini kullandıkları görüldü.

Çalınan Kimlik Bilgileri Nasıl Kullanılır?

Kimlik bilgileri ellerine ulaştığında, Qilin aktörleri ayrıcalıklarını artırır ve yatay olarak yayılır. Yükseltilmiş erişim, çeşitli uzaktan izleme ve yönetim (RMM) ve uzaktan erişim ürünleri (AnyDesk, Chrome Uzak Masaüstü, Uzak Masaüstü, GoToDesk, QuickAssist ve ScreenConnect) kurmak için kullanılmıştır; ancak araştırmacılar (Talos), her bir ürünün öncelikli olarak yatay hareket için mi yoksa kalıcı uzaktan kontrol için mi kullanıldığını her zaman belirleyememiştir.

Kaçınma, Azim ve Sömürü Sonrası

Saldırganlar, tespit edilmekten kaçınmak için AMSI'yi devre dışı bırakan, TLS sertifika doğrulamasını kapatan ve Kısıtlı Yönetici modunu etkinleştiren PowerShell dizileri çalıştırır. Ayrıca, güvenlik ürünlerini sonlandırmak için dark-kill ve HRSword gibi kill-switch tarzı yardımcı programlar kullanırlar. Kalıcılık ve gizli komuta ve kontrol için Cobalt Strike ve SystemBC kullanırlar.

Fidye Yazılımı Dağıtımı ve Temizliği

Son aşama Qilin fidye yazılımının dağıtılmasıdır: dosyalar şifrelenir, fidye notları şifrelenmiş klasörlere bırakılır, Windows olay günlükleri silinir ve Birim Gölge Kopyası Hizmeti (VSS) tarafından oluşturulan tüm gölge kopyalar, kurtarma çabalarını engellemek için silinir.

Gelişmiş hibrit saldırı zincirleri (Windows üzerinde Linux ikili dosyası + BYOVD)
Bazı karmaşık Qilin vakaları, çeşitli gelişmiş teknikleri bir araya getirmiştir. Operatörler, Linux tarafından derlenmiş bir fidye yazılımı ikili dosyası dağıtmış ancak bunu Windows ana bilgisayarlarında çalıştırmış, bu yükü savunmaları devre dışı bırakmak için "kendi savunmasız sürücünüzü getirin" (BYOVD) tekniğiyle eşleştirmiş ve ortamda dolaşıp yükleri çalıştırmak için meşru BT yönetim araçlarını kullanmıştır. Bu saldırılarda, güvenlik kontrollerini devre dışı bırakmak, işlemleri sonlandırmak ve tespit edilmekten kaçınmak için kullanılan savunmasız sürücü bileşeni olarak eskle.sys sürücüsü gözlemlenmiştir.

Yedekleme Hedefleme ve Kişiye Özel Kimlik Hırsızlığı

Qilin, özellikle Veeam yedekleme altyapısını hedef aldı. Saldırganlar, yedekleme veritabanlarına karşı özel kimlik bilgisi çıkarma araçları kullanarak kimlik bilgilerini topladı ve fidye yazılımı kullanmadan önce kuruluşların felaket kurtarma platformlarını sistematik olarak tehlikeye attı. Bu durum, etkilenen kurbanlar için riski önemli ölçüde artırdı.

Kimlik Avı ve Sahte CAPTCHA Teslimat Mekanizmaları

Geçerli hesap suistimallerinin yanı sıra, bazı saldırılar, Cloudflare R2'de barındırılan kimlik avı veya ClickFix tarzı sahte CAPTCHA sayfalarıyla başladı. Bu sayfalar, kimlik bilgilerini toplayan ve daha sonra ilk ağ erişimini elde etmek için yeniden kullanılan bilgi hırsızı yükleri sunuyor gibi görünüyor.

Gözlemlenen temel teknikler ve altyapı şunları içerir:

• Uzaktan erişim ve komut yürütmeyi etkinleştirmek için bir SOCKS proxy DLL'si dağıtılıyor.
• Yanal hareket hedeflerini bulmak için keşif komutlarını ve ağ tarama araçlarını çalıştırmak amacıyla ScreenConnect'i kötüye kullanmak.
• Birden fazla veritabanından yedekleme kimlik bilgilerini çıkarmak için Veeam yedekleme sistemlerini hedef alıyoruz.
• BYOVD saldırılarında güvenlik yazılımlarını etkisiz hale getirmek ve savunma süreçlerini sonlandırmak için eskle.sys sürücüsünün kullanılması.
• PuTTY SSH istemcilerinin Linux ana bilgisayarlarına yatay olarak taşınması.
• C2 trafiğini COROXY arka kapısı aracılığıyla gizlemek için farklı dizinlerde SOCKS proxy örnekleri çalıştırılıyor.
• Linux fidye yazılımı ikili dosyasını Windows sistemlerine taşımak için WinSCP kullanılıyor.
• Splashtop Remote'un SRManager.exe dosyasını kullanarak Linux fidye yazılımı ikili dosyasını doğrudan Windows makinelerinde çalıştırmak.

Platformlar Arası Etki ve Sanallaştırma Hedefleme

Linux ikili dosyası, platformlar arası yetenek sağlar: Tek bir yük, bir ortamda hem Linux hem de Windows sistemlerini etkileyebilir. Daha yakın zamanda, Qilin örnekleri Nutanix AHV ortamlarını tespit edecek şekilde güncellendi ve bu da grubun hedeflemesini geleneksel VMware dağıtımlarının ötesine, modern hiper birleşik altyapılara doğru genişlettiğini göstermektedir.

Özet

Qilin'in operasyonu, etkiyi en üst düzeye çıkarmak ve tespit edilmekten kaçınmak için kimlik bilgisi hırsızlığı, meşru yönetim araçlarının kötüye kullanımı, BYOVD teknikleri, yedekleme sistemlerine yönelik hedefli saldırılar ve platformlar arası fidye yazılımlarını bir araya getiriyor. Savunmacılar, kimlik bilgisi temizliğine, uzaktan erişim arayüzlerinde çok faktörlü kimlik doğrulamaya, yedekleme sistemlerinin segmentasyonuna, meşru uzaktan yönetim araçlarının anormal kullanımına karşı titiz izlemeye ve sürücü tabanlı BYOVD etkinliğini tespit etmek için kontrollere öncelik vermelidir. Bu önlemler, toplanan kimlik bilgilerinin veya tek bir güvenlik açığının tam ölçekli fidye yazılımı dağıtımına yol açma olasılığını azaltır.