Qilin создал гибридный эксплойт Linux и BYOVD-атаку
Киберпреступная группировка Qilin (также известная под именами Agenda, Gold Feather и Water Galura) демонстрирует впечатляющую активность в 2025 году. С февраля по сентябрь организация осуществила серию разрушительных атак, ежемесячно поражая более 40 целей. Особенно показательным стал июнь, когда количество опубликованных утечек достигло исторического максимума в 100 случаев.
Активность группировки достигла пика в августе и сентябре, когда было зафиксировано по 84 успешных атаки. История Qilin берет начало примерно с середины 2022 года, и за это время организация существенно усовершенствовала свои методы.
География атак охватывает преимущественно развитые страны. Наибольший урон нанесен США, Канаде, Великобритании, Франции и Германии. Основные мишени — производственный сектор (23%), профессиональные и научные услуги (18%), а также оптовая торговля (10%).
Механизм атаки начинается с использования украденных административных учетных данных через VPN. Злоумышленники устанавливают RDP-подключения к контроллерам домена, после чего проводят детальную разведку инфраструктуры.
В арсенале хакеров — целый набор инструментов:
-Mimikatz для извлечения учетных данных
-WebBrowserPassView.exe для сбора паролей
-BypassCredGuard.exe для обхода защиты
-SharpDecryptPwd для дешифрования данных
Инновационная особенность атак Qilin заключается в комбинировании Linux-эксплойта с техникой BYOVD (Bring Your Own Vulnerable Driver).
Злоумышленники активно используют легитимные IT-инструменты, включая:
-AnyDesk через платформу Atera Networks
-ScreenConnect для удаленного управления
-Splashtop для развертывания вредоносной нагрузки
Особое внимание уделяется компрометации систем резервного копирования Veeam. Злоумышленники применяют специализированные инструменты для извлечения учетных данных и систематического сбора информации из резервных баз.
Методы обхода защиты включают:
-Развертывание SOCKS-прокси через DLL-файлы
-Использование драйвера eskle.sys для отключения систем безопасности
-Применение PuTTY для бокового перемещения в Linux-системы
-Маскировку C2-трафика через различные системные каталоги
Финальная стадия атаки завершается развертыванием собственно программы-вымогателя, которая не только шифрует файлы, но и удаляет теневые копии Windows, а также оставляет записки с требованиями выкупа в каждой зашифрованной папке.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
ChatGPT Atlas: опасная уязвимость памяти стала инструментом хакеров
Специалисты по кибербезопасности выявили серьёзную брешь в работе веб-браузера ChatGPT Atlas от OpenAI. Уязвимость позволяет хакерам незаметно внедрять вредоносные команды в систему искусственного интеллекта и запускать произвольный код.
Повышаем доставляемость писем в Gmail: советы для email-маркетологов
Gmail: между эффективностью и сложностями. Современный email-маркетинг сталкивается с серьёзными вызовами при работе с Gmail. Маркетологи часто наблюдают парадоксальную ситуацию: письма доходят до адресатов, но показатели открываемости падают, а вовлечённость стремится к нулю. Основная причина кроется в сложной системе оценки, которую использует платформа.
OpenAI Atlas: браузер уязвим к поддельным адресам и скрытым командам
Выяснилось, что новый веб-браузер OpenAI Atlas подвержен риску атаки методом внедрения вредоносных команд через специально сформированные адреса URL. Эксперты обнаружили способ обхода защиты омнибокса (комбинированной строки ввода адреса и поисковых запросов), позволяя злоумышленникам вводить вредоносные инструкции, имитируя обычный URL.