СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.11.2025
#Dev#ИБ#Инфра#Облака

Qilin: расширение RaaS и надежная C2‑инфраструктура

Группа программ‑вымогателей Qilin, появившаяся в 2022 году и ранее известная как «Agenda», к 2024–2025 годам превратилась в одного из заметных игроков на рынке RaaS. За счёт партнерской модели и широкой сети соратников ей приписывают компрометацию более 900 организаций — преимущественно в производственном, медицинском и технологическом секторах. При этом группа не ограничивает выбор жертв отраслевыми приоритетами и в первую очередь ориентируется на предприятия в Соединённых Штатах.

Ключевые характеристики операций

  • Модель распространения: RaaS с партнерской программой, привлекающей широкий пул аффилиатов.
  • Инфраструктурная поддержка: использование провайдеров bulletproof hosting (BPH) и наличие сайта утечки данных (DLS) для давления на жертв.
  • Коалиции: совместные или согласованные действия с другими группами вымогателей, в том числе LockBit, что расширяет охват их атак.
  • Виктимология: более 900 организаций в разных секторах; фокус на США.

Векторы первоначального доступа

Qilin применяет разнообразные вектора проникновения:

  • фишинговые кампании;
  • компрометация деловой электронной почты (BEC);
  • эксплуатация уязвимостей в публично доступных сервисах;
  • сотрудничество с брокерами первоначального доступа (IABs) для проникновения в целевые среды.

Группа особенно эффективно эксплуатирует неправильно сконфигурированные среды и слабо защищённые сервисы, такие как WinRM, RDP и SMB, что облегчает латеральное перемещение внутри сетей.

Разведка и инструментальные средства

Для сбора разведданных Qilin использует привычные сетевые сканеры — в том числе Nmap — чтобы идентифицировать запущенные сервисы и потенциальные точки входа. Группа также практикует повторное использование скомпрометированных учетных данных для углубления доступа внутри сети.

Инфраструктура управления и маячки

Исследование сетевой активности указывает на наличие стабильной системы управления (C2). Зафиксирована прочная связь между вредоносной кампанией и доменом cloudflariz.com, который действует как C2‑сервер. Исходящие соединения от скомпрометированных машин происходят с регулярными интервалами — типичная схема маячков, указывающая на управляющую активность.

Статический анализ бинарного файла подтвердил роль маяка C2 и использование обфускации для сокрытия конфигурации связи.

В частности, анализ бинарного файла hosts.exe выявил встроенные конфигурации связи и применение XOR‑обфускации для сокрытия домена C2.

Бинарные компоненты и их поведение

  • _crypt.exe — уникальный загрузчик/шифровальщик, развёртываемый в средах с недостаточной защитой; предназначен для облегчения развертывания основной нагрузки программы‑вымогателя.
  • hosts.exe — двоичный файл, выполняющий роль маяка C2; использует XOR‑обфускацию и встраивает конфигурации для связи с управляющей инфраструктурой.
  • dato.exe — вторичный бинарный файл, написанный на C#, функционально схожий с hosts.exe; свидетельствует о межъязыковом подходе к разработке компонентов инфраструктуры C2 и расширении операционных возможностей группы.

После успешного развертывания вредоносное ПО обеспечивает закрепление в системе — создаёт ярлыки, запускающиеся при входе пользователя в систему, что поддерживает устойчивую доступность для операторов.

Тактика, техника и процедуры (TTP)

Операции Qilin демонстрируют скоординированное использование следующих приёмов:

  • эксплуатация неправильно сконфигурированной инфраструктуры и уязвимых сервисов;
  • широкий набор векторов первоначального доступа (phishing, BEC, уязвимости, IABs);
  • нацеленность на повторное использование учетных данных и латеральное перемещение внутри сети;
  • стабильная C2‑инфраструктура с регулярными маячками и обфускацией конфигураций.

Выводы

Операции Qilin характеризуются стратегическим и системным подходом: сочетание RaaS‑модели, кооперации с другими группами, опоры на BPH и DLS, а также многоступенчатой C2‑инфраструктуры сделали их заметным и опасным игроком на поле программ‑вымогателей. Наблюдаемые компоненты — _crypt.exe, hosts.exe и dato.exe — дают представление о том, как группа организует развертывание, закрепление и управление поражёнными средами.

Дальнейший анализ, по информации отчёта, должен прояснить поведение шифровальщика на этапе исполнения и полный жизненный цикл атак от проникновения до финального развертывания ransomware.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: