عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد برامج الفدية مجموعة تشيلين لبرامج الفدية

مجموعة تشيلين لبرامج الفدية

بواسطة Mezo في برامج الفدية, التهديد المستمر المتقدم (APT)
ترجمة الى:

تطورت مجموعة تشيلين (المعروفة أيضًا باسم أجندة، وجولد فيذر، ووتر غالورا) لتصبح واحدة من أكثر عمليات برامج الفدية كخدمة (RaaS) انتشارًا ونشاطًا حاليًا. منذ بداية عام 2025، سجلت المجموعة أكثر من 40 ضحية شهريًا (كان يناير الاستثناء الوحيد)، وبلغت ذروتها عند حوالي 100 دخول إلى مواقع التسريب في يونيو، وسجلت 84 ضحية في كل من أغسطس وسبتمبر 2025. نشطت مجموعة تشيلين منذ يوليو 2022 تقريبًا، وتجعلها وتيرة عملها وتكتيكاتها جهة فاعلة عالية المخاطر للشركات حول العالم.

من تعرض للضرب - الجغرافيا والصناعات

يُظهر تحليل بيانات القياس عن بُعد للحوادث أن ضحايا تشيلين يتركزون في أمريكا الشمالية وأوروبا الغربية، حيث تُعدّ الولايات المتحدة وكندا والمملكة المتحدة وفرنسا وألمانيا من بين الدول الأكثر تضررًا. تُفضّل المجموعة قطاعاتٍ معينة: يُمثّل قطاع التصنيع حوالي 23% من الأهداف المُرصودة، والخدمات المهنية والعلمية حوالي 18%، وتجارة الجملة حوالي 10%.

الوصول الأولي والوضع المبكر

يعتقد المحققون أن العديد من عمليات اختراق الشركات التابعة لشركة Qilin تبدأ ببيانات اعتماد إدارية مسربة من مستودعات الويب المظلم. يستخدم المهاجمون هذه البيانات لتسجيل الدخول عبر واجهة VPN، ثم إجراء اتصالات RDP مع وحدات تحكم النطاق ونقاط النهاية الأخرى المخترقة. ومن هناك، ينتقلون إلى رسم خرائط البيئة وعمليات استطلاع أعمق.

حصاد بيانات الاعتماد والأدوات

تستخدم حملات Qilin بشكل مكثف أدوات وتقنيات جمع بيانات الاعتماد. يستخدم المشغلون والجهات التابعة Mimikatz مع أدوات مساعدة مثل WebBrowserPassView.exe وBypassCredGuard.exe وSharpDecryptPwd لاستخراج المعلومات السرية من المتصفحات ومخازن النظام والتطبيقات الأخرى. تُستخرج بيانات الاعتماد المحصودة إلى خوادم SMTP خارجية باستخدام نصوص Visual Basic. وشمل استخدام Mimikatz المُلاحظ في الواقع إجراءات من أجل:

  • مسح سجلات أحداث Windows ومسح الآثار الأخرى؛
  • تمكين SeDebugPrivilege؛
  • استخراج كلمات مرور Chrome المحفوظة من قواعد بيانات SQLite؛
  • استعادة بيانات الاعتماد من عمليات تسجيل الدخول السابقة؛ و
  • تكوين الحصاد وبيانات الاعتماد لـ RDP وSSH وCitrix.

العيش من الأرض وإساءة استخدام الأدوات المشروعة

يمزج مُنشئو التهديدات البرامج الضارة الواضحة مع أدوات النظام المشروعة وأدوات الإدارة المعروفة للتمويه. وقد شوهدوا وهم يفتحون ملفات باستخدام mspaint.exe وnotepad.exe وiexplore.exe لفحص المحتوى يدويًا بحثًا عن معلومات حساسة، واستخدام عميل Cyberduck الأصلي لنقل الملفات المختارة إلى خوادم بعيدة مع إخفاء النوايا الخبيثة.

كيف يتم استغلال بيانات الاعتماد المسروقة

بمجرد الحصول على بيانات الاعتماد، يُصعّد مُنفذو Qilin صلاحياتهم وينتشرون أفقيًا. استُخدم الوصول المُحسّن لتثبيت مجموعة متنوعة من منتجات المراقبة والإدارة عن بُعد (RMM) والوصول عن بُعد - مثل AnyDesk، وChrome Remote Desktop، وDistant Desktop، وGoToDesk، وQuickAssist، وScreenConnect - على الرغم من أن الباحثين (Talos) لم يتمكنوا دائمًا من تحديد ما إذا كان كل منتج يُستخدم بشكل أساسي للحركة الأفقية أم للتحكم عن بُعد المستمر.

التهرب، والاستمرار، وما بعد الاستغلال

لتجنب الكشف، يُنفّذ المهاجمون تسلسلات PowerShell التي تُعطّل AMSI، وتُعطّل التحقق من صحة شهادات TLS، وتُفعّل وضع المسؤول المُقيّد. كما يُنشِئون أدواتٍ تُشبه مفاتيح القتل، مثل dark-kill وHRSword، لإيقاف منتجات الأمان. وللاستمرارية والتحكم السري، يستخدمون Cobalt Strike وSystemBC.

نشر برامج الفدية وتنظيفها

المرحلة النهائية هي نشر برنامج Qilin ransomware: يتم تشفير الملفات، وإسقاط ملاحظات الفدية في مجلدات مشفرة، ومسح سجلات أحداث Windows، وحذف جميع النسخ الظلية التي تم إنشاؤها بواسطة خدمة Volume Shadow Copy Service (VSS) لإحباط جهود الاسترداد.

سلاسل هجوم هجينة متقدمة (ثنائي Linux على Windows + BYOVD)
جمعت بعض حوادث تشيلين المعقدة بين عدة تقنيات متقدمة. نشر المشغلون ملفًا ثنائيًا لبرنامج فدية مُجمّعًا على لينكس، لكنهم نفّذوه على أجهزة ويندوز، وربطوا هذه الحمولة بتقنية "إحضار برنامج التشغيل الخاص بك المُعرّض للخطر" (BYOVD) لتعطيل الدفاعات، واستخدموا أدوات إدارة تكنولوجيا معلومات موثوقة للتنقل عبر البيئة وتنفيذ الحمولة. في هذه الهجمات، لوحظ أن برنامج التشغيل eskle.sys هو مُكوّن برنامج التشغيل المُعرّض للخطر المُستخدم لتعطيل عناصر التحكم الأمنية، وإيقاف العمليات، والتهرب من الكشف.

استهداف النسخ الاحتياطي وسرقة بيانات الاعتماد المخصصة

استهدف تشيلين البنية التحتية للنسخ الاحتياطي لشركة فييام تحديدًا. استخدم المهاجمون أدوات متخصصة لاستخراج بيانات الاعتماد من قواعد بيانات النسخ الاحتياطي لجمع بيانات الاعتماد، مما أدى إلى اختراق منصات التعافي من الكوارث الخاصة بالمؤسسات بشكل منهجي قبل إطلاق برامج الفدية، مما زاد بشكل كبير من المخاطر التي يتعرض لها الضحايا المتضررون.

التصيد الاحتيالي وآليات تسليم CAPTCHA المزيفة

إلى جانب إساءة استخدام الحسابات، بدأت بعض عمليات الاختراق بالتصيد الاحتيالي الموجه أو بصفحات CAPTCHA المزيفة على غرار ClickFix والمستضافة على Cloudflare R2. يبدو أن هذه الصفحات تنقل حمولات لسرقة المعلومات تجمع بيانات الاعتماد، والتي يُعاد استخدامها بعد ذلك للوصول الأولي إلى الشبكة.

تتضمن التقنيات والبنية الأساسية الرئيسية التي تمت ملاحظتها ما يلي:

  • نشر DLL لوكيل SOCKS لتمكين الوصول عن بعد وتنفيذ الأوامر.
  • إساءة استخدام ScreenConnect لتشغيل أوامر الاكتشاف وأدوات مسح الشبكة لتحديد أهداف الحركة الجانبية.
  • استهداف أنظمة النسخ الاحتياطي Veeam لاستخراج بيانات اعتماد النسخ الاحتياطي من قواعد بيانات متعددة.
  • استخدام برنامج التشغيل eskle.sys في هجمات BYOVD لتحييد برامج الأمان وإنهاء العمليات الدفاعية.
  • نشر عملاء PuTTY SSH للتحرك أفقياً إلى مضيفات Linux.
  • تشغيل مثيلات وكيل SOCKS عبر أدلة مختلفة لإخفاء حركة المرور C2 عبر الباب الخلفي COROXY.
  • استخدام WinSCP لنقل ملف Linux ransomware الثنائي إلى أنظمة Windows.
  • استخدام SRManager.exe في Splashtop Remote لتنفيذ ملف Linux ransomware الثنائي مباشرة على أجهزة الكمبيوتر التي تعمل بنظام Windows.

استهداف التأثير عبر الأنظمة الأساسية والمحاكاة الافتراضية

يوفر نظام Linux الثنائي إمكانية العمل عبر منصات متعددة: إذ يمكن لحمولة واحدة التأثير على أنظمة Linux وWindows في بيئة واحدة. ومؤخرًا، تم تحديث عينات Qilin للكشف عن بيئات Nutanix AHV، مما يُظهر أن المجموعة تعمل على توسيع نطاق الاستهداف ليتجاوز عمليات نشر VMware التقليدية ليشمل البنى التحتية الحديثة فائقة التقارب.

ملخص

تجمع عمليات شركة Qilin بين سرقة بيانات الاعتماد، وإساءة استخدام أدوات الإدارة الشرعية، وتقنيات BYOVD، والهجمات الموجهة على أنظمة النسخ الاحتياطي، وبرامج الفدية متعددة المنصات، وذلك لتعظيم الأثر وتجنب الكشف. ينبغي على الجهات المدافعة إعطاء الأولوية لسلامة بيانات الاعتماد، والمصادقة متعددة العوامل على واجهات الوصول عن بُعد، وتجزئة أنظمة النسخ الاحتياطي، والمراقبة الدقيقة للاستخدام غير الطبيعي لأدوات الإدارة الشرعية عن بُعد، وضوابط الكشف عن نشاط BYOVD القائم على برامج التشغيل. تقلل هذه التدابير من احتمالية أن تؤدي بيانات الاعتماد المسروقة أو نقطة اختراق واحدة إلى انتشار واسع النطاق لبرامج الفدية.

الشائع

تحذير: عملية احتيال تسريب موارد النظام

التصيد الاحتيالي, رسائل إلكترونية مزعجة
كشف باحثو الأمن السيبراني عن مخطط احتيالي يُعرف باسم "تحذير: تسريب موارد النظام"، والذي يستخدم تنبيهات نظامية زائفة لتضليل المستخدمين. وبينما تروّج الصفحة التي تقف وراء هذا المخطط لتطبيق قانوني، فإن أسلوبها القائم على التخويف خادع ومُصمم للتلاعب بالمستخدمين ودفعهم إلى التصرف بدافع الخوف. من الضروري إدراك أن هذه الرسائل الإلكترونية والمواقع الإلكترونية الاحتيالية لا تتبع أي شركات أو منظمات أو...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
33,304
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...