ក្រុម Qilin Ransomware

Qilin (ក៏ត្រូវបានតាមដានជា Agenda, Gold Feather, និង Water Galura) បានវិវត្តទៅជាប្រតិបត្តិការ Ransomware-as-a-Service (RaaS) ដ៏ពេញនិយមបំផុតមួយដែលកំពុងដំណើរការនាពេលបច្ចុប្បន្ននេះ។ ចាប់តាំងពីដើមឆ្នាំ 2025 ក្រុមនេះបានបង្ហោះជនរងគ្រោះច្រើនជាង 40 នាក់ក្នុងមួយខែ (ខែមករាគឺជាករណីលើកលែងតែមួយគត់) ដោយឈានដល់ចំណុចកំពូលប្រហែល 100 កន្លែងលេចធ្លាយក្នុងខែមិថុនា និងបានកត់ត្រាជនរងគ្រោះចំនួន 84 នាក់ក្នុងខែសីហា និងខែកញ្ញា ឆ្នាំ 2025។ សកម្មតាំងពីប្រហែលខែកក្កដា ឆ្នាំ 2022 សហគ្រាសរបស់ Qilin និងយុទ្ធសាស្ត្រខ្ពស់ធ្វើឱ្យវាក្លាយជាតារាសម្ដែងក្នុងពិភពលោក។

តើអ្នកណាត្រូវបានវាយប្រហារ - ភូមិសាស្ត្រនិងឧស្សាហកម្ម

ការវិភាគនៃឧប្បត្តិហេតុ telemetry បង្ហាញថាជនរងគ្រោះរបស់ Qilin ត្រូវបានប្រមូលផ្តុំនៅអាមេរិកខាងជើង និងអឺរ៉ុបខាងលិច ដោយមានសហរដ្ឋអាមេរិក កាណាដា ចក្រភពអង់គ្លេស បារាំង និងអាល្លឺម៉ង់ ក្នុងចំណោមប្រទេសដែលរងផលប៉ះពាល់ខ្លាំងបំផុត។ ក្រុមនេះអនុគ្រោះដល់ប្រភេទបញ្ឈរមួយចំនួន៖ ការផលិតមានប្រហែល 23% នៃគោលដៅដែលបានអង្កេត សេវាកម្មវិជ្ជាជីវៈ និងវិទ្យាសាស្ត្រប្រហែល 18% និងពាណិជ្ជកម្មលក់ដុំប្រហែល 10% ។

ការចូលប្រើដំបូង និងជើងទម្រដំបូង

អ្នកស៊ើបអង្កេតជឿថាការឈ្លានពានរបស់សម្ព័ន្ធ Qilin ជាច្រើនចាប់ផ្តើមជាមួយនឹងការលេចធ្លាយព័ត៌មានសម្ងាត់រដ្ឋបាលដែលទទួលបានពីឃ្លាំងគេហទំព័រងងឹត។ សត្រូវប្រើព័ត៌មានសម្ងាត់ទាំងនោះដើម្បីចូលតាមរយៈចំណុចប្រទាក់ VPN ហើយបន្ទាប់មកអនុវត្តការភ្ជាប់ RDP ទៅកាន់ឧបករណ៍បញ្ជាដែន និងចំណុចបញ្ចប់ដែលត្រូវបានសម្របសម្រួលផ្សេងទៀត។ ពីទីនោះ ពួកគេឈានទៅរកការធ្វើផែនទីបរិស្ថាន និងការឈ្លបយកការណ៍កាន់តែស៊ីជម្រៅ។

ការប្រមូលផល និងឧបករណ៍បញ្ជាក់អត្តសញ្ញាណ

យុទ្ធនាការ Qilin ប្រើប្រាស់យ៉ាងទូលំទូលាយនូវឧបករណ៍ និងបច្ចេកទេសប្រមូលផលដែលមានការទទួលស្គាល់។ ប្រតិបត្តិករ និងសាខាដំណើរការ Mimikatz រួមជាមួយនឹងឧបករណ៍ប្រើប្រាស់ដូចជា WebBrowserPassView.exe, BypassCredGuard.exe និង SharpDecryptPwd ដើម្បីទាញអាថ៌កំបាំងពីកម្មវិធីរុករកតាមអ៊ីនធឺណិត ហាងលក់ប្រព័ន្ធ និងកម្មវិធីផ្សេងទៀត។ លិខិតសម្គាល់ដែលប្រមូលបានត្រូវបានបញ្ចូនទៅម៉ាស៊ីនមេ SMTP ខាងក្រៅដោយប្រើស្គ្រីប Visual Basic ។ ការប្រើប្រាស់ Mimikatz ត្រូវបានគេសង្កេតឃើញនៅក្នុងព្រៃរួមមានសកម្មភាពដើម្បី៖

• ជម្រះកំណត់ហេតុព្រឹត្តិការណ៍ Windows ហើយបើមិនដូច្នេះទេលុបដាន;
• បើក SeDebugPrivilege;
• ស្រង់ពាក្យសម្ងាត់ Chrome ដែលបានរក្សាទុកពីមូលដ្ឋានទិន្នន័យ SQLite;
• ទាញយកព័ត៌មានសម្ងាត់ពីការចូលពីមុន; និង
• ការកំណត់រចនាសម្ព័ន្ធ និងការប្រមូលផលសម្រាប់ RDP, SSH និង Citrix ។

ការរស់នៅក្រៅដី និងឧបករណ៍ស្របច្បាប់ត្រូវបានបំពាន

តួអង្គគំរាមកំហែងលាយឡំមេរោគជាក់ស្តែងជាមួយនឹងឧបករណ៍ប្រើប្រាស់ប្រព័ន្ធស្របច្បាប់ និងឧបករណ៍គ្រប់គ្រងដ៏ល្បីដើម្បីបញ្ចូលគ្នា។ ពួកគេត្រូវបានគេមើលឃើញថាកំពុងបើកឯកសារជាមួយ mspaint.exe, notepad.exe និង iexplore.exe ដើម្បីត្រួតពិនិត្យខ្លឹមសារដោយដៃសម្រាប់ព័ត៌មានរសើប និងប្រើប្រាស់ម៉ាស៊ីនភ្ញៀវ Cyberduck ដើម្បីផ្ទេរឯកសារដែលបានជ្រើសរើសទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ ខណៈពេលដែលលាក់ចេតនាព្យាបាទ។

របៀបដែលឯកសារសម្ងាត់ត្រូវបានលួច

នៅពេលដែលលិខិតសម្គាល់មាននៅក្នុងដៃ តួអង្គ Qilin បង្កើនសិទ្ធិ និងផ្សព្វផ្សាយនៅពេលក្រោយ។ ការចូលប្រើកម្រិតខ្ពស់ត្រូវបានប្រើដើម្បីដំឡើងភាពខុសគ្នានៃការត្រួតពិនិត្យ និងការគ្រប់គ្រងពីចម្ងាយ (RMM) និងផលិតផលចូលប្រើពីចម្ងាយ — AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist និង ScreenConnect — ទោះបីជាអ្នកស្រាវជ្រាវ (Talos) មិនអាចកំណត់ជានិច្ចថាតើផលិតផលនីមួយៗត្រូវបានប្រើប្រាស់ជាចម្បងសម្រាប់ចលនាពេលក្រោយ ឬសម្រាប់ការបញ្ជាពីចម្ងាយជាប់លាប់ក៏ដោយ។

ការគេចវេស ការតស៊ូ និងការកេងប្រវ័ញ្ចក្រោយ

ដើម្បីគេចពីការរកឃើញ អ្នកវាយប្រហារប្រតិបត្តិលំដាប់ PowerShell ដែលបិទ AMSI បិទសុពលភាពវិញ្ញាបនបត្រ TLS និងបើកមុខងារគ្រប់គ្រងកម្រិត។ ពួកគេក៏ប្រើឧបករណ៍ប្រើប្រាស់រចនាប័ទ្ម kill-switch ដូចជា dark-kill និង HRSword ដើម្បីបញ្ចប់ផលិតផលសុវត្ថិភាព។ សម្រាប់ភាពជាប់លាប់ និងការបញ្ជាដោយសម្ងាត់ ពួកគេប្រើ Cobalt Strike និង SystemBC ។

ការដាក់ពង្រាយ Ransomware និងការសម្អាត

ដំណាក់កាលចុងក្រោយគឺការដាក់ពង្រាយ Qilin ransomware៖ ឯកសារត្រូវបានអ៊ិនគ្រីប កំណត់ចំណាំតម្លៃលោះត្រូវបានទម្លាក់ក្នុងថតដែលបានអ៊ិនគ្រីប កំណត់ហេតុព្រឹត្តិការណ៍ Windows ត្រូវបានលុបចោល ហើយច្បាប់ចម្លងស្រមោលទាំងអស់ដែលបង្កើតឡើងដោយ Volume Shadow Copy Service (VSS) ត្រូវបានលុបដើម្បីធ្វើឱ្យកិច្ចខិតខំប្រឹងប្រែងស្តារឡើងវិញ។

ខ្សែសង្វាក់វាយប្រហារកូនកាត់កម្រិតខ្ពស់ (លីនុចគោលពីរនៅលើ Windows + BYOVD)
ឧប្បត្តិហេតុ Qilin ដ៏ទំនើបមួយចំនួនបានរួមបញ្ចូលគ្នានូវបច្ចេកទេសទំនើបៗជាច្រើន។ ប្រតិបត្តិករបានដាក់ពង្រាយប្រព័ន្ធគោលពីរ ransomware ដែលចងក្រងដោយលីនុច ប៉ុន្តែបានដំណើរការវានៅលើម៉ាស៊ីន Windows ដោយបានផ្គូផ្គងបន្ទុកនោះជាមួយនឹងបច្ចេកទេស 'នាំយកកម្មវិធីបញ្ជាដែលងាយរងគ្រោះផ្ទាល់ខ្លួនរបស់អ្នក' (BYOVD) ដើម្បីបិទការការពារ និងប្រើប្រាស់ឧបករណ៍គ្រប់គ្រងព័ត៌មានវិទ្យាស្របច្បាប់ដើម្បីផ្លាស់ទីតាមបរិយាកាស និងប្រតិបត្តិបន្ទុក។ នៅក្នុងការវាយប្រហារទាំងនេះ កម្មវិធីបញ្ជា eskle.sys ត្រូវបានគេសង្កេតឃើញថា ជាធាតុផ្សំនៃកម្មវិធីបញ្ជាដែលងាយរងគ្រោះ ដែលត្រូវបានប្រើដើម្បីបិទការគ្រប់គ្រងសុវត្ថិភាព សម្លាប់ដំណើរការ និងគេចពីការរកឃើញ។

ការកំណត់គោលដៅបម្រុងទុក និងការលួចព័ត៌មានដែលកែតម្រូវ

Qilin បានកំណត់គោលដៅជាពិសេសទៅលើហេដ្ឋារចនាសម្ព័ន្ធបម្រុងទុក Veeam ។ អ្នកវាយប្រហារបានប្រើឧបករណ៍ទាញយកព័ត៌មានសម្ងាត់ឯកទេសប្រឆាំងនឹងមូលដ្ឋានទិន្នន័យបម្រុងទុក ដើម្បីប្រមូលព័ត៌មានសម្ងាត់ សម្របសម្រួលប្រព័ន្ធសង្គ្រោះគ្រោះមហន្តរាយរបស់អង្គការនានាជាប្រព័ន្ធ មុនពេលទម្លាក់ ransomware បង្កើនភាគហ៊ុនយ៉ាងសំខាន់សម្រាប់ជនរងគ្រោះដែលរងផលប៉ះពាល់។

យន្តការចែកចាយ CAPTCHA ក្លែងបន្លំ និងក្លែងក្លាយ

លើសពីការបំពានគណនីដែលមានសុពលភាព ការឈ្លានពានមួយចំនួនបានចាប់ផ្តើមជាមួយនឹងការបន្លំដោយលំពែង ឬជាមួយទំព័រ CAPTCHA ក្លែងក្លាយរចនាប័ទ្ម ClickFix ដែលបង្ហោះនៅលើ Cloudflare R2 ។ ទំព័រទាំងនោះហាក់ដូចជាផ្តល់នូវបន្ទុកអ្នកលួចព័ត៌មានដែលប្រមូលព័ត៌មានអត្តសញ្ញាណ ដែលបន្ទាប់មកត្រូវបានប្រើឡើងវិញដើម្បីទទួលបានការចូលប្រើបណ្តាញដំបូង។

បច្ចេកទេស និងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗដែលសង្កេតឃើញមាន៖

• ការដាក់ពង្រាយប្រូកស៊ី SOCKS DLL ដើម្បីបើកការចូលប្រើពីចម្ងាយ និងការប្រតិបត្តិពាក្យបញ្ជា។
• ការបំពាន ScreenConnect ដើម្បីដំណើរការពាក្យបញ្ជាស្វែងរក និងឧបករណ៍ស្កេនបណ្តាញដើម្បីកំណត់ទីតាំងគោលដៅចលនានៅពេលក្រោយ។
• កំណត់គោលដៅប្រព័ន្ធបម្រុងទុក Veeam ដើម្បីទាញយកព័ត៌មានសម្ងាត់បម្រុងទុកពីមូលដ្ឋានទិន្នន័យច្រើន។
• ការប្រើប្រាស់កម្មវិធីបញ្ជា eskle.sys ក្នុងការវាយប្រហារ BYOVD ដើម្បីបន្សាបកម្មវិធីសុវត្ថិភាព និងបញ្ចប់ដំណើរការការពារ។
• ការដាក់ពង្រាយម៉ាស៊ីនភ្ញៀវ PuTTY SSH ដើម្បីផ្លាស់ទីនៅពេលក្រោយចូលទៅក្នុងម៉ាស៊ីនលីនុច។
• កំពុងដំណើរការប្រូកស៊ី SOCKS នៅទូទាំងថតផ្សេងៗគ្នា ដើម្បីរារាំងចរាចរណ៍ C2 តាមរយៈទ្វារខាងក្រោយ COROXY ។
• ការប្រើប្រាស់ WinSCP ដើម្បីផ្លាស់ទី Linux ransomware binary ទៅកាន់ប្រព័ន្ធ Windows ។
• ការប្រើប្រាស់ SRManager.exe របស់ Splashtop Remote ដើម្បីប្រតិបត្តិប្រព័ន្ធគោលពីរ Linux ransomware ដោយផ្ទាល់នៅលើម៉ាស៊ីន Windows ។

ផលប៉ះពាល់ឆ្លងវេទិកា និងការកំណត់គោលដៅនិម្មិត

Linux binary ផ្តល់នូវសមត្ថភាពឆ្លងវេទិកា៖ បន្ទុកតែមួយអាចប៉ះពាល់ដល់ប្រព័ន្ធ Linux និង Windows នៅក្នុងបរិស្ថានមួយ។ ថ្មីៗនេះ គំរូ Qilin ត្រូវបានធ្វើបច្ចុប្បន្នភាពដើម្បីស្វែងរកបរិយាកាស Nutanix AHV ដោយបង្ហាញថាក្រុមកំពុងពង្រីកគោលដៅលើសពីការដាក់ពង្រាយ VMware ប្រពៃណីទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធទំនើបដែលមានការបញ្ចូលគ្នាច្រើន។

សង្ខេប

ប្រតិបត្តិការរបស់ Qilin រួមបញ្ចូលគ្នានូវការលួចព័ត៌មាន ការប្រើប្រាស់ឧបករណ៍គ្រប់គ្រងស្របច្បាប់មិនត្រឹមត្រូវ បច្ចេកទេស BYOVD ការវាយប្រហារគោលដៅលើប្រព័ន្ធបម្រុងទុក និង ransomware ឆ្លងវេទិកា ដើម្បីបង្កើនផលប៉ះពាល់ និងជៀសវាងការរកឃើញ។ អ្នកការពារគួរតែផ្តល់អាទិភាពដល់អនាម័យអត្តសញ្ញាណ ការផ្ទៀងផ្ទាត់ពហុកត្តានៅលើចំណុចប្រទាក់ចូលប្រើពីចម្ងាយ ការបែងចែកប្រព័ន្ធបម្រុងទុក ការត្រួតពិនិត្យយ៉ាងម៉ត់ចត់សម្រាប់ការប្រើប្រាស់ខុសប្រក្រតីនៃឧបករណ៍គ្រប់គ្រងពីចម្ងាយស្របច្បាប់ និងការគ្រប់គ្រងដើម្បីស្វែងរកសកម្មភាព BYOVD ផ្អែកលើអ្នកបើកបរ។ វិធានការទាំងនេះកាត់បន្ថយលទ្ធភាពដែលប្រមូលព័ត៌មានអត្តសញ្ញាណ ឬចំណុចនៃការសម្របសម្រួលតែមួយនឹងនាំទៅដល់ការដាក់ពង្រាយ ransomware ពេញលេញ។