Qilin: Над 40 жертви месечно през 2025 г. и еволюиращи тактики на атака

Picture of Здравко Боджов
Здравко Боджов
Зловреден код
28 октомври 2025

Групата за рансъмуер Qilin (известна още като Agenda, Gold Feather и Water Galura) е обявила повече от 40 жертви на месец от началото на 2025 г., с изключение на януари, като броят на публикациите в сайта ѝ за изтичане на данни достига връх от 100 случая през юни. Това развитие подчертава статуса на RaaS операцията (Ransomware-as-a-Service) като една от най-активните групи за рансъмуер, с по 84 жертви в август и септември 2025 г. Qilin е активна от около юли 2022 г.

Според данни, компилирани от Cisco Talos, страни като САЩ, Канада, Великобритания, Франция и Германия са сред най-засегнатите. Атаките са насочени предимно към секторите производство (23%), професионални и научни услуги (18%) и търговия на едро (10%).

Тактики на първоначален достъп и разузнаване

Атаки, извършени от афилиати на Qilin, вероятно използват изтекли административни идентификационни данни от дарк уеба за първоначален достъп чрез VPN интерфейс, последвано от RDP връзки към контролера на домейна и успешно пробитa крайна точка.

В следващата фаза нападателите провеждат системно разузнаване и откриване на мрежа, за да картографират инфраструктурата, и изпълняват инструменти като Mimikatz, WebBrowserPassView.exe, BypassCredGuard.exe и SharpDecryptPwd, за да улеснят събирането на идентификационни данни от различни приложения и да ексфилтрират данните към външен SMTP сървър чрез Visual Basic Script.

„Командите, изпълнени чрез Mimikatz, са насочени към широк спектър от чувствителни данни и системни функции, включително изчистване на Windows логове на събития, активиране на SeDebugPrivilege, извличане на запазени пароли от SQLite базата на данни на Chrome, възстановяване на идентификационни данни от предишни входове и събиране на идентификационни данни и конфигурационни данни, свързани с RDP, SSH и Citrix,“ анализира Talos.

Скриване на дейността и ескалация на привилегии

Допълнителен анализ разкрива използването на mspaint.exe, notepad.exe и iexplore.exe от страна на Qilin за инспектиране на файлове за чувствителна информация, както и легитимен инструмент на име Cyberduck за трансфер на интересни файлове към отдалечен сървър, като прикрива злонамерената дейност.

Събраните идентификационни данни позволяват ескалация на привилегии и латерално движение, злоупотребявайки  с повишения достъп за инсталиране на множество инструменти за отдалечено наблюдение и управление (RMM) като AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist и ScreenConnect. Talos отбеляза, че не може категорично да заключи дали тези програми са използвани за латерално движение.

Избягване на откриване и финална инфекция

За да заобиколи откриването, веригата на атаката включва изпълнение на PowerShell команди за деактивиране на AMSI, изключване на валидацията на TLS сертификати и активиране на Restricted Admin, както и стартиране на инструменти като dark-kill и HRSword за прекратяване на  софтуерa за сигурност. На хоста също са внедрени Cobalt Strike и SystemBC за постоянен отдалечен достъп.

Инфекцията кулминира със стартиране на рансъмуера Qilin, който криптира файлове и оставя бележка за откуп във всяка криптирана папка, но преди това изтрива логовете на събития и премахва всички сенчести копия, поддържани от Windows Volume Shadow Copy Service (VSS).

Хибридни атаки с Linux вариант и BYOVD техника

Тези открития съвпадат с разкриването на сложна атака на Qilin, която внедрява Linux варианта на рансъмуера на Windows системи и го комбинира с техника bring your own vulnerable driver (BYOVD) и легитимни IT инструменти за заобикаляне на киберзащитните бариери.

„Нападателите злоупотребяват с легитимни инструменти, като инсталират AnyDesk чрез платформата за отдалечено наблюдение и управление на Atera Networks (RMM) и ScreenConnect за изпълнение на команди. Злоупотребяват и със Splashtop за финалното изпълнение на рансъмуера,“ заяви Trend Micro.

„Те специално целят инфраструктурата за Veeam бекъп, използвайки специализирани инструменти за извличане на идентификационни данни, систематично събирайки ги от множество бази данни за бекъп, за да компрометират възможностите за възстановяване на организацията, преди да внедрят рансъмуерния пейлоуд.“

Допълнителни методи на първоначален достъп

Освен използването на валидни акаунти за пробиване на целеви мрежи, изброени атаки са използвали spear-phishing и фалшиви CAPTCHA страници в стил ClickFix, хоствани на Cloudflare R2 инфраструктура, за задействане на изпълнението на злонамерени товари. Оценява се, че тези страници доставят information stealers, необходими за събирането на идентификационни данни, които след това се използват за първоначален достъп.

Ключови стъпки в атаките

Някои от критичните стъпки, предприети от нападателите, включват:

  • Внедряване на SOCKS proxy DLL за улесняване на отдалечен достъп и изпълнение на команди.
  • Злоупотреба със ScreenConnect за отдалечено управление, за изпълнение на команди за откриване и стартиране на инструменти за сканиране на мрежа, за идентифициране на потенциални цели за латерално движение.
  • Насочване към Veeam бекъп инфраструктурата за събиране на идентификационни данни.
  • Използване на драйвера „eskle.sys“ като част от BYOVD атака за деактивиране на защитни решения, прекратяване на процеси и избягване на откриване.
  • Внедряване на PuTTY SSH клиенти за улесняване на латерално движение към Linux системи.
  • Използване на SOCKS proxy инстанции в различни системни директории за замъгляване на командно-контролния (C2) трафик чрез бекдора COROXY.
  • Използване на WinSCP за сигурен трансфер на Linux рансъмуерния бинарен файл към Windows системата.
  • Използване на Splashtop Remote’s management service (SRManager.exe) за директно изпълнение на Linux рансъмуерния бинарен файл на Windows системи.

„Linux рансъмуерният бинарен файл предоставя крос-платформена възможност, позволявайки на нападателите да засегнат както Windows, така и Linux системи в средата с един товар,“ отбелязаха изследователите от Trend Micro.

„Актуализирани проби включват откриване на Nutanix AHV, разширявайки целите към хиперконвергентни инфраструктурни платформи. Това демонстрира адаптацията на заплахите към съвременни корпоративни среди за виртуализация отвъд традиционните VMware внедрявания.“

#BYOVD атака, # Cisco Talos, # Qilin рансъмуер, # Trend Micro, # Veeam бекъп
e-security.bgy

Подобни

Фалшиви съобщения примамват собственици на изгубени iPhone-и
7.11.2025
iPhone12Blue_shutterstock
239 зловредни приложения в Google Play с над 42 милиона изтегляния
6.11.2025
malware_android
Rhysida използва платформите на Microsoft за нова мащабна малуeр кампания
6.11.2025
malware-via-canva-1080x600
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Google и ФБР предупреждават за мащабна и глобална киберизмама
5.11.2025
cybercrime-3528223_1280
Super Quik е ударена от Play ransomware
4.11.2025
Ransomware is relentless

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.