Киберпреступники Qilin наращивают активность: технический анализ атаки от начального доступа до бекон-трафика

В 2024 году активность, приписываемая Qilin и связанным партнерским группам, увеличилась в четыре раза по сравнению с 2023 годом. В 2025 году рост достиг 14 раз, что привело к общему числу пострадавших организаций свыше 900. Такой показатель превзошел несколько других групп вымогателей с существенным количеством жертв.

Успех Qilin в 2025 году демонстрирует эффективность их партнерской модели. Группа не проявляет "предпочтений" к конкретным отраслям при выборе потенциальных целей. Соответственно, их заявленные жертвы работают в различных секторах. Производители составляют большинство жертв Qilin исключительно из-за доступных возможностей. Секторы здравоохранения и технологий также являются основными целями, разделяя второе место среди отраслей, подвергающихся атакам. Организации, targeted (направленные) Qilin, преимущественно расположены в США, за которыми следуют Франция, Канада, Великобритания, Германия и Бразилия.

Деятельность Qilin обеспечивается через нелегитимную инфраструктуру с использованием bullet-proof-hosting (BPH) провайдеров. Эти поставщики работают через множество подставных компаний в странах с длительными юридическими процессами и отсутствием установленных договоров об экстрадиции. Данная нелегитимная инфраструктура поддерживает onion data leak site (DLS), где жертвы публично опозорены, а конфиденциальные данные раскрыты. Qilin не показывает никаких признаков прекращения операций, недавно установив новую коалицию с LockBit и DragonForce, что несомненно расширяет их охват.

Исторически Qilin использовала множество методов начального доступа, включая фишинговые кампании, компрометацию деловой переписки (BEC), эксплуатацию публично раскрытых уязвимостей и привлечение брокеров начального доступа (IAB) для покупки учетных данных законных пользователей. Среда с неправильными конфигурациями программного обеспечения и инфраструктуры - это место, где Qilin процветает, используя доступные или открытые службы, такие как WinRM, RDP и SMB, для перемещения по среде организации и удаленного выполнения payload (полезной нагрузки).

Дополнительная разведка часто наблюдается с развертыванием дополнительных утилит или использованием существующих, таких как Nmap, для идентификации доступных служб на соседних хостах и их назначения. С идентифицированными потенциальными точками проникновения Qilin попытается удаленно получить доступ к этим хостам, повторно используя приобретенные или извлеченные учетные данные с исходного хоста и доверенные утилиты, такие как PsExec от Sysinternals, которые часто переименовываются в случайную строку перед выполнением, чтобы избежать обнаружения по имени файла. Этот доступ часто используется для распространения бинарного файла Qilin ransomware (вымогателя) или облегчения удаленного шифрования, обходя определенные host-based (хостовые) решения безопасности.

Перед развертыванием ransomware (вымогателя) ThreatLocker обнаружили частую связь с известным вредоносным доменом "cloudflariz[.]com". Исходящий сетевой трафик к этому домену происходит каждые 10 минут с джиттером (вариацией) от одной до трех минут. Эти последовательные соединения были одним из первых четких индикаторов malicious (вредоносной) активности, побудивших дальнейшее расследование.

Домен "cloudflariz[.]com" обслуживает веб-страницу на русском языке, которая переводится как "Панель управления ботом" и принимает набор учетных данных. Как домен, так и связанный IP ранее отмечались несколькими службами репутации доменов/IP за вредоносную активность. Кроме того, бинарные файлы, связывающиеся с этим доменом, наблюдаемые в реальных условиях, демонстрируют поведение, напоминающее C2 beaconing (маячение).

ThreatLocker отследили связь с доменом "cloudflariz[.]com" до одного бинарного файла, идентифицированного как "hosts[.]exe". Статический анализ подтвердил предполагаемую функциональность C2 со встроенной конфигурацией beacon (маяка), содержащей домен и ссылку на страницу heartbeat "comm.php".

Бинарный файл "hosts[.]exe" выполняет три основных действия. Первая функция создает ярлык в папке автозагрузки для persistence (сохранения) после перезагрузок или событий завершения работы. За этим следует функция для облегчения отправки и получения событий с сервера C2. Наконец, используется stub function, которая служит для задержки выполнения на 50 секунд.

При первоначальном выполнении Windows API, предназначенные для манипуляции окном приложения, разрешаются динамически. Это делается для избежания оставления записей в таблице адресов импорта (IAT) бинарного файла. Дескриптор присоединенного консольного окна "hosts[.]exe" открывается, и состояние окна устанавливается на "SW_HIDE", чтобы избежать обнаружения, если у пользователя активна интерактивная сессия.

После успешного создания ярлыка автозагрузки инициируется связь с сервером C2. Бинарный файл использует "libcurl" (библиотеку Curl) для отправки POST-запросов на сервер C2, содержащих имя компьютера, активное имя пользователя из переменных среды и поддельный пользовательский агент Mozilla, перед получением поставленной в очередь команды от сервера C2.

Для избежания обнаружения методами статического анализа домен обратного вызова C2 подвергается XOR с жестко заданным ключом, хранящимся в разделе данных только для чтения бинарного файла. Применение этого ключа к встроенному домену раскрывает домен в открытом тексте "cloudflariz[.]com".

Задачи, полученные процессом beacon от сервера C2, включают буфер, содержащий команду для выполнения в системе. Перед выполнением этой команды дополнительное разрешение API выполняется динамически для Windows API "CreateProcessA". Буфер, содержащий команду, получает добавленную строку "cmd.exe /c" и передается в вызов разрешенной функции "CreateProcessA" в качестве второго аргумента, соответствующего командной строке. Дочерний процесс "cmd.exe" впоследствии порождается из процесса beacon, выполняет поставленную в очередь команду и переходит в режим ожидания.

После выполнения команды и следующей задержки выполнение beacon возвращается в основной цикл, получая дополнительные задачи от сервера C2, выполняя их и переходя в режим ожидания. ThreatLocker Threat Intelligence проанализировали отдельный, но похожий вредоносный бинарный файл, идентифицированный как "dato.exe", C2 beacon, написанный на C#, который создает ярлык с именем "dato.lnk" с описанием "Backup Intuit", перечисляет хост жертвы и передает эту информацию обратно на "cloudflariz[.]com".

Бинарный файл "dato.exe" выполняет аналогичные действия бинарному файлу "hosts.exe", такие как скрытие присоединенного консольного окна и выполнение поставленных в очередь команд с "cmd.exe /c". Несмотря на разницу в выборе языка, функциональность beacon остается идентичной нативному (C++) аналогу. Функционально идентичная логика для получения и выполнения команд сначала собирает активное имя пользователя и имя хоста из переменных среды, отправляет post-запрос с пользовательским агентом Mozilla, извлекает и передает любые поставленные в очередь команды логике выполнения команд перед входом в функцию задержки для ожидания.

Другие вспомогательные функции используются для конкатенации строк, загрузки переменных среды и поддержки общей функциональности для активности C2 beacon. Учитывая, насколько функционально близки эти два бинарных файла, анализ одного образца может прояснить действия, предпринятые другим.

Тактика, подробно описанная выше, должна контролироваться и вызывать оповещения при наблюдении. В современном мире постоянно развивающихся киберугроз контрмеры против групп ransomware (вымогателей), таких как Qilin, и их методов должны быть реализованы для создания среды, ориентированной на безопасность.

IPv4

• 104.21.63.167
• 68.65.122.246

Domains

• cloudflariz.com

URLs

• cloudflariz.com/auload.php
• cloudflariz.com/comm.php

SHA256

• 1306a6b3d73cd4dde97dc3d6407ae783a91c5f312ae77e5cf88674fc99c7caf0
• a4e3f6633f3ececd39f0ba8c9644962bb0dd677ee0ecf22a99986d5c80e34bd7
• a51c8fcde0bcc9fe8273f99c8b23e63ca4cd0f66b22cadd0bcb0f3adb0fa05fa

Commands