Qilin fidye yazılımı işleminde önemli bir güvenlik ihlali, grubun bağlı kuruluş ağ yapısı ve operasyonel yöntemleri hakkında benzeri görülmemiş bir fikir sağlamıştır.
31 Temmuz 2025’te, fidye yazılımı grubu ve iştiraklerinden biri arasındaki iç çatışmalar, hassas operasyonel detayların halka açık bir şekilde maruz kalmasına yol açarak, hizmet olarak büyük bir fidye yazılımı (RAAS) operasyonunun iç işleyişine nadir bir bakış attı.
Bağlı kuruluş anlaşmazlığı büyük zeka sızıntısına yol açar
Maruz kalma, “Hastalamuerte” tutamağı altında çalışan bir Qilin bağlı kuruluşunun fidye yazılımı grubunu bir çıkış dolandırıcılığı yapmakla kamuoyuna suçladığı ve 48.000 dolarlık iştiraki dolandırdığı iddia edildiğinde başladı.
Bu anlaşmazlık, rakip bir fidye yazılımı grubuyla ilişkili “Nova” olarak bilinen başka bir siber suçlu, oturum açma kimlik bilgileri yayınladığında ve Qilin’in karanlık web forumlarındaki bağlı kuruluş yönetim paneline erişim ayrıntılarını yayınladığında arttı.
Sızan bilgiler, Qilin’in 2022’den beri 600’den fazla kurbana yönelik saldırıları koordine etmek için kullandığı grubun iç sistemlerine idari erişim içeriyordu.
Qilin operasyonları tarafından tehlikeye atılan yüksek profilli hedefler arasında Palau Sağlık Bakanlığı, Japonya’nın Utsunomiya Kanser Merkezi ve ABD’deki Lee Enterprises bulunmaktadır.
Qilin tarafından kullanılan RAAS modeli, birden fazla bağlı kuruluşun grubun altyapısı ve araçlarını kullanarak saldırılar yapmasına izin vererek operasyonel ölçeğini ve etkilerini önemli ölçüde artırır.
Sızıntı sadece bir iş anlaşmazlığından daha fazlasını temsil eder; Siber suçlu ortaklıkların değişken doğasını ve iç çatışmaların önemli operasyonel güvenlik başarısızlıklarına nasıl yol açabileceğini göstermektedir.
Nova’nın Qilin’in altyapısını ortaya çıkarmaya katılımı, rekabet eden fidye yazılımı grupları genellikle pazar avantajı elde etmek için birbirlerinin operasyonlarını zayıflatmaya çalıştığı için stratejik olarak motive ediliyor gibi görünüyor.
Teknik cephanelik ve operasyonel yöntemler ortaya çıktı
Maruz kalan bağlı kuruluşun faaliyetlerinin analizi, sofistike teknik yetenekler ve takım kullanım modelleri ortaya çıkarmıştır.
Siber güvenlik araştırmacıları, bağlı kuruluşun “Hastalamuerte” nin, tespitten kaçınmak için themida şifrelemesi ile dolu bir Mimikatz versiyonu da dahil olmak üzere çeşitli penetrasyon testi ve kimlik bilgisi hasat araçları içeren bir GitHub depolarını sürdürdüğünü keşfetti.
Bağlı kuruluşun araç seti, özellikle Active Directory ortamlarına karşı etkili olan güçlü bir ağ penetrasyon testi çerçevesi olan Netexec’i içeriyordu ve Tayland’ın önde gelen Bitcoin değişimi olan Bitkub için API’ler de dahil olmak üzere kripto para ile ilgili araçlara özel ilgi gösterdi.
Bu, operasyon içindeki potansiyel coğrafi hedefleme veya kara para aklama yeteneklerini göstermektedir.
Keşfedilen temel araçlar ve yetenekler:
- Kimlik bilgisi hasat: Mimikatz, temida şifrelemesi, DPAPI kimlik bilgileri için Donpapi ve Python tabanlı kimlik bilgileri için Pypycatz ile dolu.
- Ağ penetrasyonu: Active Directory Sömürü için NetExec, ayrıcalık analizi için Powerhuntshares ve alt alan numaralandırması için alt bulma.
- Kaçınma Teknikleri: Antivirüs bypass, JavaScript Obfustation Araçları ve Korkuluk Yük oluşturma çerçevesi için Real Blindingedr.
- Uzaktan Erişim Araçları: Sistem kontrolü için Xenorat, kimlik doğrulamalı komut yürütme için Sharprdp ve uzaktan yönetim için meshcentral.
- Kripto para birimi entegrasyonu: Bitkub API araçları, kara para aklama yeteneklerini ve Taylandlı finans kurumlarının potansiyel hedeflemesini öneren araçlar.
Özellikle bağlı kuruluşun, CVE-2021-40444 ve CVE-2022-30190 (Follina) dahil olmak üzere, bilinen güvenlik kusurlarının aktif olarak sömürülmesini gösteren birden fazla CVE güvenlik açığını hedefleyen istismar araçları koleksiyonu ile ilgilidir.
Keşfedilen araçlar, ilk keşiften ayrıcalık yükseltme ve veri açığa çıkmasına kadar tüm saldırı yaşam döngüsünü kapsar ve modern fidye yazılımı operasyonlarının kapsamlı doğasını gösterir.
Güvenlik etkileri ve savunma önlemleri
Bu sızıntıdan toplanan zeka, siber güvenlik uzmanları için değerli savunma fırsatları sunmaktadır.
Güvenlik araştırmacıları, kuruluşların Qilin’e bağlı potansiyel saldırıları tam olarak gelişmeden tanımlamasına yardımcı olabilecek belirli algılama imzaları ve davranış kalıpları belirlediler.
Anahtar savunma önerileri arasında, themida dolu Mimikatz varyantları için izleme, yetkisiz penetrasyon testi bağlamlarında olağandışı ağ kullanımı ve tanımlanan araçların şüpheli kombinasyonlarını içerir.
Kuruluşlar, bağlı kuruluşun istismar koleksiyonunda ortaya çıkan spesifik CVE güvenlik açıkları için gelişmiş izleme uygulamalı ve ortaya çıkan operasyonel kalıplar için algılama kuralları oluşturmalıdır.
Olay ayrıca siber güvenlik topluluğunda tehdit istihbarat paylaşımının önemini vurgulamaktadır.
Bu sızıntıdan ortaya çıkan ayrıntılı teknik analiz, güvenlik ekiplerinin daha etkili karşı önlemler ve ilişkilendirme yöntemleri geliştirmelerini sağlar.
Bununla birlikte, fidye yazılımı gruplarının yöntemleri ortaya çıktığında operasyonlarını ne kadar hızlı uyarlayabileceğini de gösterir.
Bu pozlama, fidye yazılımı gruplarının önemli tehditler sunmasına rağmen, operasyonlarının savunma amaçlı önemli zeka sağlayabilecek iç uyuşmazlıklara ve operasyonel güvenlik başarısızlıklarına karşı savunmasız kaldığını hatırlatır.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!