Qilin (diğer adıyla Agenda, Gold Feather ve Water Galura) olarak bilinen fidye yazılımı grubu, Ocak hariç 2025’in başından bu yana her ay 40’tan fazla kurban talep etti ve veri sızıntısı sitesindeki gönderilerin sayısı Haziran ayında 100 vaka gibi yüksek bir rakama ulaştı.
Bu gelişme, hizmet olarak fidye yazılımı (RaaS) operasyonunun, Ağustos ve Eylül 2025 aylarında her biri 84 kurbanla en aktif fidye yazılımı gruplarından biri olarak ortaya çıkmasıyla ortaya çıktı. Qilin’in Temmuz 2022’den bu yana aktif olduğu biliniyor.
Cisco Talos tarafından derlenen verilere göre ABD, Kanada, İngiltere, Fransa ve Almanya Qilin’den en çok etkilenen ülkeler arasında yer alıyor. Saldırılar öncelikle imalat (%23), profesyonel ve bilimsel hizmetler (%18) ve toptan ticaret (%10) sektörlerini hedef aldı.
Qilin bağlı kuruluşları tarafından gerçekleştirilen saldırılar, büyük olasılıkla bir VPN arayüzü kullanılarak ilk erişim için karanlık ağda sızdırılan yönetici kimlik bilgilerinden yararlandı ve ardından etki alanı denetleyicisine ve başarılı bir şekilde ihlal edilen uç noktaya RDP bağlantıları gerçekleştirildi.
Sonraki aşamada, saldırganlar altyapıyı haritalandırmak için sistem keşif ve ağ keşif eylemleri gerçekleştirdi ve çeşitli uygulamalardan kimlik bilgileri toplamayı kolaylaştırmak ve bir Visual Basic Komut Dosyası kullanarak verileri harici bir SMTP sunucusuna sızdırmak için Mimikatz, WebBrowserPassView.exe, BypassCredGuard.exe ve SharpDecryptPwd gibi araçları çalıştırdı.
Talos, “Mimikatz aracılığıyla yürütülen komutlar, Windows olay günlüklerinin temizlenmesi, SeDebugPrivilege’in etkinleştirilmesi, Chrome’un SQLite veritabanından kayıtlı şifrelerin çıkarılması, önceki oturum açmalardan kimlik bilgilerinin kurtarılması ve RDP, SSH ve Citrix ile ilgili kimlik bilgileri ve yapılandırma verilerinin toplanması dahil olmak üzere bir dizi hassas veri ve sistem işlevini hedef aldı.” dedi.
Daha ayrıntılı analizler, tehdit aktörünün hassas bilgiler açısından dosyaları incelemek için mspaint.exe, notepad.exe ve iexplore.exe’yi kullandığını ve kötü niyetli etkinliği gizleyerek ilgilenilen dosyaları uzak bir sunucuya aktarmak için Cyberduck adlı meşru bir araç kullandığını ortaya çıkardı.
Çalınan kimlik bilgilerinin, AnyDesk, Chrome Uzaktan Masaüstü, Uzak Masaüstü, GoToDesk, QuickAssist ve ScreenConnect gibi birden fazla Uzaktan İzleme ve Yönetim (RMM) aracını yüklemek için yükseltilmiş erişimi suistimal ederek ayrıcalık yükseltmeye ve yatay harekete olanak tanıdığı ortaya çıktı. Talos, programların yanal hareket için kullanılıp kullanılmadığı konusunda kesin bir sonuca varılamayacağını söyledi.
Saldırı zinciri, tespitten kaçınmak için AMSI’yi devre dışı bırakmak, TLS sertifika doğrulamasını kapatmak ve Kısıtlı Yöneticiyi etkinleştirmek için PowerShell komutlarının yürütülmesini ve ayrıca güvenlik yazılımını sonlandırmak için dark-kill ve HRSword gibi araçların çalıştırılmasını içerir. Kalıcı uzaktan erişim için ana makinede ayrıca Cobalt Strike ve SystemBC konuşlandırılmıştır.
Enfeksiyon, dosyaları şifreleyen ve her şifrelenmiş klasöre bir fidye notu bırakan Qilin fidye yazılımının başlatılmasıyla doruğa ulaşır, ancak olay günlüklerini silmeden ve Windows Birim Gölge Kopyası Hizmeti (VSS) tarafından tutulan tüm gölge kopyaları silmeden önce değil.
Bulgular, Linux fidye yazılımı varyantını Windows sistemlerine dağıtan ve bunu güvenlik engellerini aşmak için kendi savunmasız sürücünüzü getir (BYOVD) tekniği ve meşru BT araçlarıyla birleştiren karmaşık bir Qilin saldırısının keşfiyle örtüşüyor.
Trend Micro, “Saldırganlar, özellikle Atera Networks’ün uzaktan izleme ve yönetim (RMM) platformu ve komut yürütmek için ScreenConnect aracılığıyla AnyDesk’i kurarak meşru araçları kötüye kullandı. Son fidye yazılımı uygulaması için Splashtop’u kötüye kullanıyor” dedi.
“Özel kimlik bilgisi çıkarma araçlarını kullanarak özellikle Veeam yedekleme altyapısını hedef aldılar ve fidye yazılımı yükünü dağıtmadan önce kuruluşun olağanüstü durum kurtarma yeteneklerini tehlikeye atmak için birden fazla yedekleme veri tabanındaki kimlik bilgilerini sistematik olarak topladılar.”
Hedef ağları ihlal etmek için geçerli hesaplar kullanmanın yanı sıra, belirli saldırılar, kötü amaçlı yüklerin yürütülmesini tetiklemek için hedef odaklı kimlik avı ve Cloudflare R2 altyapısında barındırılan ClickFix tarzı sahte CAPTCHA sayfalarını kullandı. Bu sayfaların, daha sonra ilk erişimi elde etmek için kullanılacak kimlik bilgilerini toplamak için gerekli bilgi hırsızlarını sağladığı değerlendirilmektedir.
Saldırganların attığı önemli adımlardan bazıları şöyle:
- Uzaktan erişimi ve komut yürütmeyi kolaylaştırmak için bir SOCKS proxy DLL’sinin dağıtılması
- Keşif komutlarını yürütmek ve olası yanal hareket hedeflerini belirlemek için ağ tarama araçlarını çalıştırmak için ScreenConnect’in uzaktan yönetim yeteneklerinin kötüye kullanılması
- Kimlik bilgilerini toplamak için Veeam yedekleme altyapısını hedefleme
- Güvenlik çözümlerini devre dışı bırakmak, işlemleri sonlandırmak ve tespitten kaçınmak için BYOVD saldırısının bir parçası olarak “eskle.sys” sürücüsünü kullanma
- Linux sistemlerine yatay geçişi kolaylaştırmak için PuTTY SSH istemcilerini dağıtma
- COROXY arka kapısı aracılığıyla komut ve kontrol (C2) trafiğini gizlemek için çeşitli sistem dizinlerinde SOCKS proxy örneklerini kullanma
- Linux fidye yazılımı ikili dosyasının Windows sistemine güvenli dosya aktarımı için WinSCP kullanma
- Linux fidye yazılımı ikili dosyasını doğrudan Windows sistemlerinde çalıştırmak için Splashtop Remote’un yönetim hizmetini (SRManager.exe) kullanma
Trend Micro araştırmacıları, “Linux fidye yazılımı ikili programı, platformlar arası yetenek sağlayarak saldırganların tek bir yük kullanarak ortamdaki hem Windows hem de Linux sistemlerini etkilemesine olanak tanıdı” dedi.
“Güncellenen örnekler, Nutanix AHV algılamayı içeriyordu ve hedeflemeyi hiper bütünleşik altyapı platformlarını içerecek şekilde genişletti. Bu, tehdit aktörlerinin geleneksel VMware dağıtımlarının ötesinde modern kurumsal sanallaştırma ortamlarına uyum sağladığını gösterdi.”