گروه باج‌افزار Qilin

Qilin (که با نام‌های Agenda، Gold Feather و Water Galura نیز شناخته می‌شود) به یکی از فعال‌ترین عملیات‌های باج‌افزار به عنوان سرویس (RaaS) تبدیل شده است. از آغاز سال ۲۰۲۵، این گروه ماهانه بیش از ۴۰ قربانی ثبت کرده است (ژانویه تنها استثنا بود)، که در ماه ژوئن به اوج خود یعنی تقریباً ۱۰۰ مورد نشت اطلاعات رسید و در هر یک از ماه‌های اوت و سپتامبر ۲۰۲۵، ۸۴ قربانی ثبت کرد. سرعت و تاکتیک‌های Qilin که از حدود ژوئیه ۲۰۲۲ فعال است، آن را به یک عامل پرخطر برای شرکت‌ها در سراسر جهان تبدیل کرده است.

چه کسی آسیب دید - جغرافیا و صنایع

تجزیه و تحلیل تله‌متری حوادث نشان می‌دهد که قربانیان Qilin در آمریکای شمالی و اروپای غربی متمرکز هستند و ایالات متحده، کانادا، انگلستان، فرانسه و آلمان از جمله آسیب‌دیده‌ترین کشورها هستند. این گروه به برخی از حوزه‌های خاص توجه دارد: تولید حدود ۲۳٪ از اهداف مشاهده‌شده، خدمات حرفه‌ای و علمی حدود ۱۸٪ و تجارت عمده‌فروشی تقریباً ۱۰٪ را تشکیل می‌دهد.

دسترسی اولیه و جایگاه اولیه

محققان معتقدند بسیاری از نفوذهای وابسته به Qilin با افشای اطلاعات مدیریتی به دست آمده از مخازن وب تاریک آغاز می‌شود. مهاجمان از این اطلاعات برای ورود به سیستم از طریق رابط VPN استفاده می‌کنند و سپس اتصالات RDP را به کنترل‌کننده‌های دامنه و سایر نقاط انتهایی آسیب‌دیده برقرار می‌کنند. از آنجا، آنها به نقشه‌برداری از محیط و شناسایی عمیق‌تر روی می‌آورند.

جمع‌آوری و تجهیز مدارک شناسایی

کمپین‌های Qilin به طور گسترده از ابزارها و تکنیک‌های جمع‌آوری اطلاعات اعتباری استفاده می‌کنند. اپراتورها و شرکت‌های وابسته، Mimikatz را به همراه ابزارهایی مانند WebBrowserPassView.exe، BypassCredGuard.exe و SharpDecryptPwd اجرا می‌کنند تا اطلاعات محرمانه را از مرورگرها، فروشگاه‌های سیستم و سایر برنامه‌ها استخراج کنند. اطلاعات اعتباری جمع‌آوری‌شده با استفاده از اسکریپت‌های ویژوال بیسیک به سرورهای SMTP خارجی منتقل می‌شوند. استفاده از Mimikatz که در سطح اینترنت مشاهده شده است شامل اقداماتی برای موارد زیر است:

• پاک کردن گزارش‌های رویداد ویندوز و در غیر این صورت پاک کردن ردپاها؛
• فعال کردن SeDebugPrivilege؛
• استخراج رمزهای عبور ذخیره شده کروم از پایگاه‌های داده SQLite؛
• بازیابی اعتبارنامه‌ها از ورودهای قبلی؛ و
• پیکربندی برداشت و اعتبارنامه‌ها برای RDP، SSH و Citrix.

زندگی خارج از زمین و سوءاستفاده از ابزارهای مشروع

این عوامل تهدید، بدافزارهای آشکار را با ابزارهای قانونی سیستم و ابزارهای شناخته‌شده‌ی مدیریت ترکیب می‌کنند تا خود را با دیگران وفق دهند. مشاهده شده است که آن‌ها فایل‌ها را با mspaint.exe، notepad.exe و iexplore.exe باز می‌کنند تا به صورت دستی محتوا را برای یافتن اطلاعات حساس بررسی کنند و از کلاینت معتبر Cyberduck برای انتقال فایل‌های انتخاب‌شده به سرورهای راه دور استفاده می‌کنند و در عین حال نیت مخرب خود را پنهان می‌کنند.

چگونه از اعتبارنامه‌های سرقت‌شده سوءاستفاده می‌شود

به محض اینکه اعتبارنامه‌ها در اختیار قرار می‌گیرند، عاملان Qilin امتیازات را افزایش داده و به صورت جانبی گسترش می‌یابند. از دسترسی سطح بالا برای نصب انواع محصولات نظارت و مدیریت از راه دور (RMM) و دسترسی از راه دور - AnyDesk، Chrome Remote Desktop، Distant Desktop، GoToDesk، QuickAssist و ScreenConnect - استفاده شده است، اگرچه محققان (Talos) همیشه نتوانسته‌اند مشخص کنند که آیا هر محصول در درجه اول برای حرکت جانبی یا برای کنترل از راه دور مداوم استفاده می‌شود.

گریز، پافشاری و پس از بهره‌برداری

برای جلوگیری از شناسایی، مهاجمان توالی‌های PowerShell را اجرا می‌کنند که AMSI را غیرفعال می‌کند، اعتبارسنجی گواهی TLS را خاموش می‌کند و حالت مدیریت محدود را فعال می‌کند. آنها همچنین از ابزارهای kill-switch مانند dark-kill و HRSword برای خاتمه دادن به محصولات امنیتی استفاده می‌کنند. برای پایداری و فرمان و کنترل پنهان، از Cobalt Strike و SystemBC استفاده می‌کنند.

استقرار و پاکسازی باج‌افزار

مرحله آخر، استقرار باج‌افزار Qilin است: فایل‌ها رمزگذاری می‌شوند، یادداشت‌های باج‌خواهی در پوشه‌های رمزگذاری‌شده قرار می‌گیرند، گزارش‌های رویداد ویندوز پاک می‌شوند و تمام کپی‌های سایه‌ای ایجاد شده توسط سرویس کپی سایه حجمی (VSS) حذف می‌شوند تا تلاش‌های بازیابی را بی‌نتیجه بگذارند.

زنجیره‌های حمله ترکیبی پیشرفته (باینری لینوکس روی ویندوز + BYOVD)
برخی از حوادث پیچیده Qilin چندین تکنیک پیشرفته را با هم ترکیب کرده‌اند. اپراتورها یک باینری باج‌افزار کامپایل‌شده با لینوکس را مستقر کرده‌اند اما آن را روی میزبان‌های ویندوز اجرا کرده‌اند، آن بار داده را با تکنیک «درایور آسیب‌پذیر خود را بیاورید» (BYOVD) برای غیرفعال کردن دفاع‌ها جفت کرده‌اند و از ابزارهای مدیریت فناوری اطلاعات قانونی برای حرکت در محیط و اجرای بار داده استفاده کرده‌اند. در این حملات، درایور eskle.sys به عنوان جزء درایور آسیب‌پذیر مورد استفاده برای غیرفعال کردن کنترل‌های امنیتی، از بین بردن فرآیندها و فرار از شناسایی مشاهده شده است.

هدف‌گیری پشتیبان‌گیری و سرقت اطلاعات محرمانه‌ی سفارشی

Qilin به طور خاص زیرساخت پشتیبان‌گیری Veeam را هدف قرار داده است. مهاجمان از ابزارهای تخصصی استخراج اعتبارنامه علیه پایگاه‌های داده پشتیبان برای جمع‌آوری اعتبارنامه‌ها استفاده کردند و به طور سیستماتیک پلتفرم‌های بازیابی اطلاعات سازمان‌ها را قبل از اجرای باج‌افزار به خطر انداختند و به طور قابل توجهی خطر را برای قربانیان آسیب‌دیده افزایش دادند.

مکانیزم‌های فیشینگ و تحویل CAPTCHA جعلی

فراتر از سوءاستفاده از حساب‌های کاربری معتبر، برخی از نفوذها با فیشینگ هدفمند یا صفحات جعلی CAPTCHA به سبک ClickFix که در Cloudflare R2 میزبانی می‌شدند، آغاز شدند. به نظر می‌رسد این صفحات، بدافزارهای سرقت اطلاعات را ارائه می‌دهند که اطلاعات احراز هویت را جمع‌آوری می‌کنند و سپس از این اطلاعات برای دسترسی اولیه به شبکه استفاده می‌کنند.

تکنیک‌ها و زیرساخت‌های کلیدی مشاهده شده عبارتند از:

• استقرار یک DLL پروکسی SOCKS برای فعال کردن دسترسی از راه دور و اجرای دستورات.
• سوءاستفاده از ScreenConnect برای اجرای دستورات اکتشافی و ابزارهای اسکن شبکه جهت یافتن اهداف حرکت جانبی.
• هدف قرار دادن سیستم‌های پشتیبان‌گیری Veeam برای استخراج اعتبارنامه‌های پشتیبان از چندین پایگاه داده.
• استفاده از درایور eskle.sys در حملات BYOVD برای خنثی کردن نرم‌افزارهای امنیتی و خاتمه دادن به فرآیندهای دفاعی.
• استقرار کلاینت‌های PuTTY SSH برای انتقال جانبی به هاست‌های لینوکس.
• اجرای نمونه‌های پروکسی SOCKS در دایرکتوری‌های مختلف برای مبهم‌سازی ترافیک C2 از طریق درب پشتی COROXY.
• استفاده از WinSCP برای انتقال باج‌افزار لینوکس به سیستم‌های ویندوزی.
• با استفاده از SRManager.exe در Splashtop Remote، فایل باینری باج‌افزار لینوکس مستقیماً روی دستگاه‌های ویندوزی اجرا می‌شود.

تأثیر متقابل پلتفرم و هدف‌گیری مجازی‌سازی

باینری لینوکس قابلیت چند پلتفرمی را فراهم می‌کند: یک payload واحد می‌تواند هم سیستم‌های لینوکس و هم ویندوز را در یک محیط تحت تأثیر قرار دهد. اخیراً، نمونه‌های Qilin برای شناسایی محیط‌های Nutanix AHV به‌روزرسانی شده‌اند که نشان می‌دهد این گروه در حال گسترش هدف‌گیری فراتر از استقرارهای سنتی VMware به زیرساخت‌های مدرن hyperconverged است.

خلاصه

عملیات Qilin ترکیبی از سرقت اعتبارنامه، سوءاستفاده از ابزارهای مدیریتی قانونی، تکنیک‌های BYOVD، حملات هدفمند به سیستم‌های پشتیبان‌گیری و باج‌افزار بین پلتفرمی است تا تأثیر را به حداکثر برساند و از شناسایی شدن جلوگیری کند. مدافعان باید بهداشت اعتبارنامه، احراز هویت چند عاملی در رابط‌های دسترسی از راه دور، تقسیم‌بندی سیستم‌های پشتیبان‌گیری، نظارت دقیق برای استفاده غیرعادی از ابزارهای مدیریت از راه دور قانونی و کنترل‌هایی برای شناسایی فعالیت BYOVD مبتنی بر درایور را در اولویت قرار دهند. این اقدامات احتمال اینکه اعتبارنامه‌های برداشت شده یا یک نقطه نفوذ واحد منجر به استقرار کامل باج‌افزار شود را کاهش می‌دهد.