Атака вымогателей Qilin: взлом MSP через фишинг
Источник: news.sophos.com
В январе 2025 года поставщик управляемых услуг (MSP) стал жертвой хакерской атаки, связанной с группой вымогателей Qilin, известной под кодовым названием STAC4365. Данный инцидент подчеркивает нарастающую угрозу, которую представляют собой тщательно спланированные фишинговые атаки и использование современных технологий для обхода мер безопасности.
Методы атаки
Атака началась с фишингового электронного письма, которое имитировало оповещение о проверке подлинности с помощью средства удаленного мониторинга и управления ScreenConnect. Злоумышленники создали фишинговый сайт, замаскированный под страницу входа в ScreenConnect, и успешно захватили:
- учетные данные администратора;
- одноразовые пароли, основанные на времени (TOTP).
Собранная информация передавалась через прокси-сервер в легальный сервис, что позволило злоумышленникам аутентифицироваться как суперадминистратор экземпляра ScreenConnect от MSP.
Обширные последствия
Программа-вымогатель Qilin работает по модели ransomware as a service и была связана с хакерами, включая группы из Северной Кореи. Она стала использована жертвой для:
- давления на жертву через сайт утечки данных в Tor;
- расширения своей деятельности с помощью общедоступного сайта утечки данных под названием «WikiLeaksV2».
Технические детали
Злоумышленники задействовали передовые методы подмены доменов, используя инструменты с открытым исходным кодом, такие как Evilginx, который способен обходить многофакторную аутентификацию (MFA) и собирать данные о сеансе. В ходе инцидента они:
- получили доступ к среде удаленного управления MSP;
- установили новый экземпляр ScreenConnect для управления несколькими клиентскими средами;
- выполнили подсчет сети и сброс учетных данных с помощью полезной нагрузки, помеченной как «veeam.exe», использующей уязвимость CVE-2023-27532 в облачном сервисе резервного копирования Veeam.
Методы маскировки и уклонения от обнаружения
Чтобы скрыть свои действия, злоумышленники использовали режим инкогнито в Google Chrome для утечки данных и удаляли свои инструменты после выполнения. Исходя из анализа, были сделаны следующие действия:
- создание резервных копий на различных сайтах клиентов для усложнения процесса восстановления;
- манипуляции с параметрами загрузки системы для обеспечения безопасной работы устройств в сети;
- внедрение программы-вымогателя Qilin, обладающей возможностями отключения системных служб и удаления теневых копий.
Показательно, что программа могла изменять журналы Windows и самоудаляться после выполнения, используя уникальные идентификаторы для каждой целевой среды.
Заключение
Инцидент STAC4365 не только демонстрирует эффективность методов, применяемых злоумышленниками, но и подчеркивает необходимость повышения уровня кибербезопасности среди поставщиков управляемых услуг. Современные угрозы требуют серьезного подхода к защите данных и систем, а также образовательных программ для сотрудников компаний.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
