Qilin создал гибридный эксплойт Linux и BYOVD-атаку
Дата: 27.10.2025Просмотров: 1401
Qilin создал гибридный эксплойт Linux и BYOVD-атаку
Киберпреступная группировка Qilin (также известная под именами Agenda, Gold Feather и Water Galura) демонстрирует впечатляющую активность в 2025 году. С февраля по сентябрь организация осуществила серию разрушительных атак, ежемесячно поражая более 40 целей. Особенно показательным стал июнь, когда количество опубликованных утечек достигло исторического максимума в 100 случаев.
Активность группировки достигла пика в августе и сентябре, когда было зафиксировано по 84 успешных атаки. История Qilin берет начало примерно с середины 2022 года, и за это время организация существенно усовершенствовала свои методы.
География атак охватывает преимущественно развитые страны. Наибольший урон нанесен США, Канаде, Великобритании, Франции и Германии. Основные мишени — производственный сектор (23%), профессиональные и научные услуги (18%), а также оптовая торговля (10%).
Механизм атаки начинается с использования украденных административных учетных данных через VPN. Злоумышленники устанавливают RDP-подключения к контроллерам домена, после чего проводят детальную разведку инфраструктуры.
В арсенале хакеров — целый набор инструментов:
-Mimikatz для извлечения учетных данных
-WebBrowserPassView.exe для сбора паролей
-BypassCredGuard.exe для обхода защиты
-SharpDecryptPwd для дешифрования данных
Инновационная особенность атак Qilin заключается в комбинировании Linux-эксплойта с техникой BYOVD (Bring Your Own Vulnerable Driver).
Злоумышленники активно используют легитимные IT-инструменты, включая:
-AnyDesk через платформу Atera Networks
-ScreenConnect для удаленного управления
-Splashtop для развертывания вредоносной нагрузки
Особое внимание уделяется компрометации систем резервного копирования Veeam. Злоумышленники применяют специализированные инструменты для извлечения учетных данных и систематического сбора информации из резервных баз.
Методы обхода защиты включают:
-Развертывание SOCKS-прокси через DLL-файлы
-Использование драйвера eskle.sys для отключения систем безопасности
-Применение PuTTY для бокового перемещения в Linux-системы
-Маскировку C2-трафика через различные системные каталоги
Финальная стадия атаки завершается развертыванием собственно программы-вымогателя, которая не только шифрует файлы, но и удаляет теневые копии Windows, а также оставляет записки с требованиями выкупа в каждой зашифрованной папке.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Китай предложил UBIOS — новую альтернативу системам загрузки
Китай предложил UBIOS — новую альтернативу системам загрузки
Китайская коалиция технологических компаний представила инновационный стандарт прошивки для материнских плат под названием UBIOS (Unified Basic Input/Output System). Этот проект призван заменить существующие системы BIOS и UEFI, предлагая более современную и гибкую альтернативу.
OnePlus 15: топовый смартфон с Snapdragon 8 Elite Gen 5 и долгой батареей
OnePlus 15: топовый смартфон с Snapdragon 8 Elite Gen 5 и долгой батареей
Новейший флагман OnePlus 15 успешно прошёл процедуру сертификации на китайском портале TENAA и был зарегистрирован в базе данных Geekbench, раскрыв ключевые технические характеристики устройства.
Smishing Triad управляет сотнями тысяч вредоносных сайтов
Smishing Triad управляет сотнями тысяч вредоносных сайтов
По свежим сведениям подразделения Unit 42 компании Palo Alto Networks, преступная группа, известная как Smishing Triad, развернула глобальную кампанию по кибер-мошенничеству, создав более 194 тыс. вредоносных доменов с начала 2024 года.