Ssylka

Стремительный рост Qilin: 45 кибератак в апреле 2025 года с использованием вредоноса NETXLOADER

В апреле 2025 года группировка Qilin (также известная как Agenda) заняла лидирующую позицию среди операторов программ-вымогателей, проведя 45 успешных атак в первые недели месяца. Этот показатель превзошел активность других известных группировок, включая Akira, Play и Lynx.
Стремительный рост Qilin: 45 кибератак в апреле 2025 года с использованием вредоноса NETXLOADER
Изображение носит иллюстративный характер

Qilin впервые появилась на киберпреступной сцене в июле 2022 года. Недавно компания Halcyon обнаружила новую версию вредоносного ПО – Qilin.B, что свидетельствует о постоянном развитии инструментария группировки. Анализ статистики показывает значительный рост активности Qilin в 2025 году: если в период с июля 2024 по январь 2025 года ежемесячное количество жертв не превышало 23 компании, то в феврале 2025 года было зафиксировано 48 случаев компрометации, в марте – 44.

Второе место по активности занимает группировка RansomHub, атаковавшая 38 организаций финансового сектора в период с апреля 2024 по апрель 2025 года. Основными целями Qilin в первом квартале 2025 года стали компании из сферы здравоохранения, технологий, финансовых услуг и телекоммуникаций. Географически атаки сконцентрированы на организациях из США, Нидерландов, Бразилии, Индии и Филиппин.

Ключевым инструментом в арсенале Qilin является загрузчик NETXLOADER, обнаруженный в ноябре 2024 года. Этот.NET-базированный загрузчик защищен с Reactor версии 6, что существенно затрудняет его анализ. Исследование NETXLOADER было проведено командой Trend Micro, в состав которой вошли Джейкоб Сантос, Реймарт Ямбот, Джон Райнер Навато, Сара Перл Камилинг и Нельджорн Натаниэль Агуас.

NETXLOADER отличается высокой степенью обфускации кода. Он получает вредоносные полезные нагрузки с внешних серверов, таких как "bloglake7[.]cfd", и затем развертывает SmokeLoader и программу-вымогатель Agenda. Для обхода средств защиты NETXLOADER использует технику JIT-хукинга, применяет бессмысленные имена методов и внедряет обфускацию потока управления, что делает его устойчивым к анализу на основе строк.

Цепочка атаки Qilin начинается с получения первоначального доступа через скомпрометированные учетные записи или фишинг. После этого происходит развертывание NETXLOADER, который в свою очередь доставляет SmokeLoader. Последний проводит проверки на виртуализацию и наличие песочницы, завершает работу жестко закодированных процессов и устанавливает связь с командным центром для получения NETXLOADER. Финальным этапом является развертывание программы-вымогателя Agenda через рефлексивную загрузку DLL.

Вредоносное ПО Agenda специализируется на атаках доменных сетей, подключенных устройств, систем хранения данных и VCenter ESXi. Такой широкий спектр целей позволяет группировке Qilin эффективно компрометировать корпоративные инфраструктуры и максимизировать ущерб для жертв, увеличивая вероятность получения выкупа.


Новое на сайте

15759Масштабная криптовалютная афера: более 38 000 поддоменов FreeDrain охотятся за кошельками... 15758Автомобиль форд 1940-х годов обнаружен на затонувшем американском авианосце времен второй... 15757Как растения научились имитировать запах смерти для привлечения опылителей? 15756Эволюционный трюк: как растения научились пахнуть гниющей плотью 15755Как хакеры используют уязвимости SonicWall SMA 100 для полного захвата устройств? 15754Воздушная охота на инвазивных баранов: Техас готовит новый закон 15753Почему рак у людей до 50 лет становится всё более распространённым явлением? 15752Почему упавшие на бок яйца реже трескаются: неожиданное открытие ученых? 15751Революция визуального ИИ: Copilot Vision в Microsoft Edge становится бесплатным для всех... 15750Как 109-летняя компания использует заботу о психическом здоровье для привлечения... 15749Стремительный рост Qilin: 45 кибератак в апреле 2025 года с использованием вредоноса... 15748Оскароносный режиссер Пол хаггис освобожден от обвинений в сексуальном насилии в Италии 15747Омега-блок: атмосферное явление, влияющее на погоду в США 15746Как в Джерси спасают исчезающих тупиков с помощью нового морского заповедника? 157457 заблуждений о викингах, которые почти полностью не соответствуют действительности