"Cisco Talos" və "Trend Micro" şirkətlərinin yeni hesabatına əsasən, "Qilin" və "Warlock" fidyə proqramı qrupları yoluxmuş sistemlərdəki təhlükəsizlik alətlərini susdurmaq üçün BYOVD (öz zəif drayverini gətir) texnikasından istifadə edirlər. "Cisco Talos" tərəfindən analiz edilən "Qilin" hücumlarında EDR (Son Nöqtənin Aşkarlanması və Reaksiyası) həllərini sıradan çıxarmaq üçün çoxmərhələli infeksiya zəncirini başladan "msimg32.dll" adlı zərərli DLL faylı aşkarlanıb. Bu fayl bazardakı demək olar ki, bütün təhlükəsizlik satıcılarına məxsus 300-dən çox EDR drayverini dayandırmaq qabiliyyətinə malikdir.
"Cisco Talos" tədqiqatçıları Takahiro Takeda və Holger Unterbrink bildiriblər ki, birinci mərhələ EDR qatili komponenti üçün icra mühitini hazırlayan PE yükləyicisindən ibarətdir. Bu yükləyici aşkarlanmadan yayınmaq üçün istifadəçi rejimindəki qarmaqları zərərsizləşdirir, "Windows" üçün Hadisə İzləmə (ETW) jurnallarını gizlədir və API çağırış nümunələrini ört-basdır edir. Nəticədə, əsas zərərli yük tamamilə yaddaşda şifrədən çıxarılır və icra olunur.
Zərərli drayverlər və əvvəlki kiberhücumlar
Zərərli proqram işə düşdükdən sonra iki drayverdən istifadə edir: sistemin fiziki yaddaşına giriş əldə etmək üçün "ThrottleStop.sys" faylının dəyişdirilmiş versiyası olan "rwdrv.sys" və müxtəlif təhlükəsizlik həllərinə aid 300-dən çox EDR drayverini dayandıran "hlpdrv.sys". Qeyd etmək lazımdır ki, hər iki drayver əvvəllər "Akira" və "Makop" fidyə proqramı hücumlarında da BYOVD texnikasının bir hissəsi kimi istifadə edilib.
"Qilin" qrupunun artan fəallığı və "Warlock" təhdidi
"CYFIRMA" və "Cynet" tərəfindən toplanan statistikaya görə, "Qilin" son aylarda ən aktiv fidyə proqramı qrupu kimi ortaya çıxıb. 2025-ci ildə Yaponiyada qeydə alınan 134 fidyə proqramı insidentindən 22-si (bütün hücumların 16,4%-i) məhz bu qrupla əlaqələndirilib. Tədqiqatçılar qeyd edirlər ki, qrup ilkin giriş üçün əsasən oğurlanmış etimadnamələrə etibar edir və fidyə proqramının icrası ilkin yoluxmadan orta hesabla altı gün sonra baş verir.
Eyni zamanda, "Warlock" (digər adı ilə "Water Manaul") qrupu yamaqlanmamış "Microsoft SharePoint" serverlərini istismar etməyə davam edir. Qrup 2026-cı ilin yanvarında həyata keçirdiyi hücumlarda əvvəlki kampaniyalarda istifadə olunan "googleApiUtil64.sys" drayverini əvəz edərək, nüvə səviyyəsində təhlükəsizlik məhsullarını dayandırmaq üçün qanuni, lakin zəif "NSecKrnl.sys" drayverindən istifadə edib.
Müdafiə tədbirləri və tövsiyələr
Hücumlar zamanı həmçinin "TightVNC", "PsExec", "Velociraptor", "Visual Studio Code", "Cloudflare Tunnel", "Yuze" və "Rclone" kimi alətlərin istifadəsi müşahidə edilib. "Trend Micro" mütəxəssisləri BYOVD təhdidlərinə qarşı mübarizə aparmaq üçün yalnız etibarlı naşirlərin imzalanmış drayverlərinə icazə verməyi, quraşdırma hadisələrini izləməyi və təhlükəsizlik proqramlarını mütəmadi yeniləməyi tövsiyə edirlər. Şirkət vurğulayır ki, təşkilatlar əsas son nöqtə qorunmasından nüvə səviyyəli fəaliyyətlərin real vaxt rejimində monitorinqinə keçməlidirlər.
