Эволюция киберугроз: Qilin создает инновационный гибрид Linux-эксплойта и BYOVD-атаки
Дата: 27.10.2025Просмотров: 1324
Эволюция киберугроз: Qilin создает инновационный гибрид Linux-эксплойта и BYOVD-атаки
Киберпреступная группировка Qilin (также известная под именами Agenda, Gold Feather и Water Galura) демонстрирует впечатляющую активность в 2025 году. С февраля по сентябрь организация осуществила серию разрушительных атак, ежемесячно поражая более 40 целей. Особенно показательным стал июнь, когда количество опубликованных утечек достигло исторического максимума в 100 случаев.
Активность группировки достигла пика в августе и сентябре, когда было зафиксировано по 84 успешных атаки. История Qilin берет начало примерно с середины 2022 года, и за это время организация существенно усовершенствовала свои методы.
География атак охватывает преимущественно развитые страны. Наибольший урон нанесен США, Канаде, Великобритании, Франции и Германии. Основные мишени — производственный сектор (23%), профессиональные и научные услуги (18%), а также оптовая торговля (10%).
Механизм атаки начинается с использования украденных административных учетных данных через VPN. Злоумышленники устанавливают RDP-подключения к контроллерам домена, после чего проводят детальную разведку инфраструктуры.
В арсенале хакеров — целый набор инструментов:
-Mimikatz для извлечения учетных данных
-WebBrowserPassView.exe для сбора паролей
-BypassCredGuard.exe для обхода защиты
-SharpDecryptPwd для дешифрования данных
Инновационная особенность атак Qilin заключается в комбинировании Linux-эксплойта с техникой BYOVD (Bring Your Own Vulnerable Driver).
Злоумышленники активно используют легитимные IT-инструменты, включая:
-AnyDesk через платформу Atera Networks
-ScreenConnect для удаленного управления
-Splashtop для развертывания вредоносной нагрузки
Особое внимание уделяется компрометации систем резервного копирования Veeam. Злоумышленники применяют специализированные инструменты для извлечения учетных данных и систематического сбора информации из резервных баз.
Методы обхода защиты включают:
-Развертывание SOCKS-прокси через DLL-файлы
-Использование драйвера eskle.sys для отключения систем безопасности
-Применение PuTTY для бокового перемещения в Linux-системы
-Маскировку C2-трафика через различные системные каталоги
Финальная стадия атаки завершается развертыванием собственно программы-вымогателя, которая не только шифрует файлы, но и удаляет теневые копии Windows, а также оставляет записки с требованиями выкупа в каждой зашифрованной папке.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Революционный стандарт UBIOS: Китай предлагает альтернативу традиционным системам инициализации
Революционный стандарт UBIOS: Китай предлагает альтернативу традиционным системам инициализации
Китайская коалиция технологических компаний представила инновационный стандарт прошивки для материнских плат под названием UBIOS (Unified Basic Input/Output System). Этот проект призван заменить существующие системы BIOS и UEFI, предлагая более современную и гибкую альтернативу.
OnePlus 15: флагман с передовым процессором Snapdragon 8 Elite Gen 5 и впечатляющей автономностью
OnePlus 15: флагман с передовым процессором Snapdragon 8 Elite Gen 5 и впечатляющей автономностью
Новейший флагман OnePlus 15 успешно прошёл процедуру сертификации на китайском портале TENAA и был зарегистрирован в базе данных Geekbench, раскрыв ключевые технические характеристики устройства.
Новая угроза: Группа Smishing Triad контролирует сотни тысяч опасных веб-ресурсов
Новая угроза: Группа Smishing Triad контролирует сотни тысяч опасных веб-ресурсов
По свежим сведениям подразделения Unit 42 компании Palo Alto Networks, преступная группа, известная как Smishing Triad, развернула глобальную кампанию по кибер-мошенничеству, создав более 194 тыс. вредоносных доменов с начала 2024 года.