Група програм-вимагачів Qilin

Qilin (також відстежувана як Agenda, Gold Feather та Water Galura) перетворилася на одну з найпродуктивніших операцій Ransomware-as-a-Service (RaaS), що працює сьогодні. З початку 2025 року група реєструє понад 40 жертв на місяць (січень був єдиним винятком), досягнувши піку приблизно 100 витоків у червні та фіксуючи по 84 жертви у серпні та вересні 2025 року. Активна приблизно з липня 2022 року, швидкість та тактика Qilin роблять її гравцем високого ризику для підприємств у всьому світі.

Хто постраждав - Географія та галузі промисловості

Аналіз телеметрії інцидентів показує, що жертви Ціліня зосереджені в Північній Америці та Західній Європі, причому Сполучені Штати, Канада, Велика Британія, Франція та Німеччина є одними з найбільш постраждалих країн. Група надає перевагу певним вертикалям: виробництво становить близько 23% спостережуваних цілей, професійні та наукові послуги - близько 18%, а оптова торгівля - приблизно 10%.

Початковий доступ та раннє закріплення

Слідчі вважають, що багато вторгнень у мережу Qilin починаються з витоку адміністративних облікових даних, отриманих з репозиторіїв даркнету. Зловмисники використовують ці облікові дані для входу через інтерфейс VPN, а потім здійснюють RDP-підключення до контролерів домену та інших скомпрометованих кінцевих точок. Звідти вони переходять до картографування середовища та глибшої розвідки.

Збір довідок та інструменти

Кампанії Qilin широко використовують інструменти та методи збору облікових даних. Оператори та афілійовані особи використовують Mimikatz разом із такими утилітами, як WebBrowserPassView.exe, BypassCredGuard.exe та SharpDecryptPwd, для отримання секретів з браузерів, системних сховищ та інших програм. Зібрані облікові дані передаються на зовнішні SMTP-сервери за допомогою скриптів Visual Basic. Спостережуване використання Mimikatz у реальному житті включало такі дії:

• очищати журнали подій Windows та стерти сліди іншими способами;
• увімкнути SeDebugPrivilege;
• витягувати збережені паролі Chrome з баз даних SQLite;
• відновити облікові дані з попередніх входів; та
• збирати конфігурацію та облікові дані для RDP, SSH та Citrix.

Життя за рахунок землі та зловживання законними інструментами

Зловмисники поєднують очевидне шкідливе програмне забезпечення з легітимними системними утилітами та відомими інструментами адміністрування, щоб злитися з натовпом. Було помічено, що вони відкривають файли за допомогою mspaint.exe, notepad.exe та iexplore.exe для ручної перевірки вмісту на наявність конфіденційної інформації, а також використовують справжній клієнт Cyberduck для передачі вибраних файлів на віддалені сервери, приховуючи при цьому зловмисні наміри.

Як використовуються вкрадені облікові дані

Щойно облікові дані отримано, актори Qilin підвищують привілеї та поширюють їх латерально. Підвищений доступ використовувався для встановлення різноманітних продуктів для віддаленого моніторингу та керування (RMM) та віддаленого доступу — AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist та ScreenConnect — хоча дослідники (Talos) не завжди могли визначити, чи кожен продукт використовувався переважно для латерального переміщення, чи для постійного віддаленого керування.

Ухилення, наполегливість та пост-експлуатація

Щоб уникнути виявлення, зловмисники виконують послідовності PowerShell, які вимикають AMSI, вимикають перевірку сертифікатів TLS та вмикають режим обмеженого адміністрування. Вони також використовують утиліти типу kill-switch, такі як dark-kill та HRSword, для завершення роботи продуктів безпеки. Для збереження та прихованого керування вони використовують Cobalt Strike та SystemBC.

Розгортання та очищення від програм-вимагачів

Заключним етапом є розгортання програми-вимагача Qilin: файли шифруються, повідомлення про викуп зберігаються в зашифрованих папках, журнали подій Windows очищуються, а всі тіньові копії, створені службою тіньового копіювання томів (VSS), видаляються, щоб перешкодити відновленню.

Розширені гібридні ланцюги атак (виконавчий файл Linux на Windows + BYOVD)
Деякі складні інциденти Qilin поєднували кілька передових методів. Оператори розгорнули скомпільований під Linux бінарний файл програми-вимагача, але виконали його на хостах Windows, поєднали це корисне навантаження з методом «принесіть свій власний вразливий драйвер» (BYOVD) для вимкнення захисту та використовували легітимні інструменти управління ІТ для переміщення в середовищі та виконання корисних навантажень. У цих атаках драйвер eskle.sys був помічений як вразливий компонент драйвера, який використовується для вимкнення засобів контролю безпеки, завершення процесів та уникнення виявлення.

Резервне таргетування та спеціалізована крадіжка облікових даних

Qilin спеціально націлився на інфраструктуру резервного копіювання Veeam. Зловмисники використовували спеціалізовані інструменти для вилучення облікових даних з резервних баз даних для збору облікових даних, систематично компрометуючи платформи аварійного відновлення організацій перед тим, як розповсюдити програму-вимагач, що значно підвищило ставки для постраждалих жертв.

Фішинг та механізми доставки підроблених капч

Окрім зловживання обліковими записами, деякі вторгнення починалися з фішингу або підроблених сторінок CAPTCHA у стилі ClickFix, розміщених на Cloudflare R2. Ці сторінки, схоже, передають корисні навантаження для крадіжки інформації, які збирають облікові дані, що потім повторно використовуються для отримання початкового доступу до мережі.

Ключові методи та інфраструктура, що спостерігаються, включають:

• Розгортання проксі-бібліотеки SOCKS для забезпечення віддаленого доступу та виконання команд.
• Зловживання ScreenConnect для запуску команд виявлення та інструментів мережевого сканування для визначення цілей бічного руху.
• Орієнтація на системи резервного копіювання Veeam для вилучення облікових даних резервного копіювання з кількох баз даних.
• Використання драйвера eskle.sys в атаках BYOVD для нейтралізації програмного забезпечення безпеки та завершення захисних процесів.
• Розгортання SSH-клієнтів PuTTY для латерального переміщення на хости Linux.
• Запуск екземплярів проксі-сервера SOCKS у різних каталогах для обфускації трафіку C2 через бекдор COROXY.
• Використання WinSCP для перенесення бінарного файлу програми-вимагача Linux на системи Windows.
• Використання SRManager.exe від Splashtop Remote для виконання бінарного файлу програми-вимагача для Linux безпосередньо на машинах з Windows.

Міжплатформний вплив та віртуалізація

Бінарний файл Linux забезпечує кросплатформні можливості: одне корисне навантаження може впливати як на системи Linux, так і на системи Windows у певному середовищі. Зовсім недавно зразки Qilin були оновлені для виявлення середовищ Nutanix AHV, що демонструє, що група розширює цільову аудиторію за межі традиційних розгортань VMware на сучасні гіперконвергентні інфраструктури.

Короткий зміст

Операції Qilin поєднують крадіжку облікових даних, зловживання легітимними інструментами адміністрування, методи BYOVD (використання власних пристроїв на пристрої), цілеспрямовані атаки на системи резервного копіювання та кросплатформне програмне забезпечення-вимагач, щоб максимізувати вплив та уникнути виявлення. Захисники повинні надавати пріоритет гігієні облікових даних, багатофакторній автентифікації на інтерфейсах віддаленого доступу, сегментації систем резервного копіювання, ретельному моніторингу аномального використання легітимних інструментів віддаленого керування та контролю для виявлення активності BYOVD на основі драйверів. Ці заходи зменшують ймовірність того, що вилучення облікових даних або єдина точка компрометації призведуть до повномасштабного розгортання програмного забезпечення-вимагача.