Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Perisian tebusan Kumpulan Ransomware Qilin

Kumpulan Ransomware Qilin

Menjelang Mezo pada Perisian tebusan, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Qilin (juga dijejaki sebagai Agenda, Bulu Emas dan Galura Air) telah berkembang menjadi salah satu operasi Ransomware‑as‑a‑Service (RaaS) yang paling prolifik yang aktif hari ini. Sejak awal tahun 2025 kumpulan itu telah menghantar lebih daripada 40 mangsa setiap bulan (Januari adalah satu-satunya pengecualian), memuncak pada kira-kira 100 entri tapak kebocoran pada bulan Jun dan merekodkan 84 mangsa pada setiap bulan Ogos dan September 2025. Aktif sejak kira-kira Julai 2022, kepantasan dan taktik Qilin di seluruh dunia menjadikannya sebagai satu risiko tinggi di seluruh dunia.

Siapa Yang Terkena - Geografi Dan Industri

Analisis telemetri insiden menunjukkan mangsa Qilin tertumpu di Amerika Utara dan Eropah Barat, dengan Amerika Syarikat, Kanada, United Kingdom, Perancis dan Jerman antara negara yang paling terjejas. Kumpulan itu memihak kepada menegak tertentu: pembuatan menyumbang kira-kira 23% daripada sasaran yang diperhatikan, perkhidmatan profesional dan saintifik kira-kira 18%, dan perdagangan borong kira-kira 10%.

Akses Awal Dan Pijakan Awal

Penyiasat percaya banyak pencerobohan ahli gabungan Qilin bermula dengan bukti kelayakan pentadbiran bocor yang diperoleh daripada repositori web gelap. Lawan menggunakan bukti kelayakan tersebut untuk log masuk melalui antara muka VPN dan kemudian melakukan sambungan RDP kepada pengawal domain dan titik akhir lain yang terjejas. Dari situ, mereka beralih ke pemetaan persekitaran dan peninjauan yang lebih mendalam.

Penuaian Tauliah Dan Peralatan

Kempen Qilin menggunakan alat dan teknik penuaian kelayakan secara meluas. Operator dan ahli gabungan menjalankan Mimikatz bersama-sama dengan utiliti seperti WebBrowserPassView.exe, BypassCredGuard.exe dan SharpDecryptPwd untuk menarik rahsia daripada pelayar, stor sistem dan aplikasi lain. Bukti kelayakan yang dituai dieksfiltrasi ke pelayan SMTP luaran menggunakan skrip Visual Basic. Penggunaan Mimikatz yang diperhatikan di alam liar termasuk tindakan untuk:

  • kosongkan log peristiwa Windows dan sebaliknya padamkan kesan;
  • dayakan SeDebugPrivilege;
  • ekstrak kata laluan Chrome yang disimpan daripada pangkalan data SQLite;
  • mendapatkan semula kelayakan daripada log masuk sebelumnya; dan
  • konfigurasi penuaian dan kelayakan untuk RDP, SSH dan Citrix.

Tinggal-luar-tanah Dan Alat Sah Disalahgunakan

Pelaku ancaman mencampurkan perisian hasad yang jelas dengan utiliti sistem yang sah dan alat pentadbir yang terkenal untuk digabungkan. Mereka telah dilihat membuka fail dengan mspaint.exe, notepad.exe dan iexplore.exe untuk memeriksa kandungan secara manual untuk mendapatkan maklumat sensitif, dan menggunakan klien Cyberduck yang bona fide untuk memindahkan fail yang dipilih ke pelayan jauh sambil menyembunyikan niat jahat.

Cara Tauliah Yang Dicuri Digunakan

Sebaik sahaja kelayakan berada di tangan, pelakon Qilin meningkatkan keistimewaan dan menyebar ke sisi. Akses tinggi telah digunakan untuk memasang pelbagai produk pemantauan dan pengurusan jauh (RMM) dan akses jauh — AnyDesk, Desktop Jauh Chrome, Desktop Jauh, GoToDesk, QuickAssist dan ScreenConnect — walaupun penyelidik (Talos) tidak selalu dapat menentukan sama ada setiap produk digunakan terutamanya untuk pergerakan sisi atau untuk kawalan jauh yang berterusan.

Pengelakan, Kegigihan dan Pasca eksploitasi

Untuk mengelakkan pengesanan, penyerang melaksanakan urutan PowerShell yang melumpuhkan AMSI, matikan pengesahan sijil TLS dan dayakan mod Pentadbir Terhad. Mereka juga menggunakan utiliti gaya suis bunuh seperti dark‑kill dan HRSword untuk menamatkan produk keselamatan. Untuk ketekunan dan arahan-dan-kawalan rahsia mereka menggunakan Cobalt Strike dan SystemBC.

Penerapan Dan Pembersihan Ransomware

Peringkat terakhir ialah penggunaan perisian tebusan Qilin: fail disulitkan, nota tebusan digugurkan dalam folder yang disulitkan, log peristiwa Windows dipadamkan, dan semua salinan bayangan yang dibuat oleh Perkhidmatan Salin Bayangan Volume (VSS) dipadamkan untuk menggagalkan usaha pemulihan.

Rantaian serangan hibrid lanjutan (binari Linux pada Windows + BYOVD)
Beberapa insiden Qilin yang canggih telah menggabungkan beberapa teknik lanjutan. Pengendali telah menggunakan perduaan perisian tebusan yang disusun Linux tetapi melaksanakannya pada hos Windows, memasangkan muatan itu dengan teknik 'bawa pemacu terdedah anda sendiri' (BYOVD) untuk melumpuhkan pertahanan, dan menggunakan alatan pengurusan IT yang sah untuk bergerak melalui persekitaran dan melaksanakan muatan. Dalam serangan ini, pemacu eskle.sys diperhatikan sebagai komponen pemacu terdedah yang digunakan untuk melumpuhkan kawalan keselamatan, membunuh proses dan mengelak pengesanan.

Penyasaran Sandaran Dan Kecurian Kredensial Disesuaikan

Qilin telah menyasarkan infrastruktur sandaran Veeam secara khusus. Penyerang menggunakan alat pengekstrakan kelayakan khusus terhadap pangkalan data sandaran untuk menuai bukti kelayakan, secara sistematik menjejaskan platform pemulihan bencana organisasi sebelum menggugurkan perisian tebusan, dengan ketara meningkatkan kepentingan untuk mangsa yang terjejas.

Phishing Dan Mekanisme Penghantaran CAPTCHA Palsu

Di sebalik penyalahgunaan akaun yang sah, pencerobohan tertentu bermula dengan spear-phishing atau dengan halaman CAPTCHA palsu gaya ClickFix yang dihoskan pada Cloudflare R2. Halaman tersebut nampaknya menyampaikan muatan pencuri maklumat yang menuai bukti kelayakan, yang kemudiannya digunakan semula untuk mendapatkan akses rangkaian awal.

Teknik dan infrastruktur utama yang diperhatikan, termasuk:

  • Menggunakan DLL proksi SOCKS untuk membolehkan akses jauh dan pelaksanaan perintah.
  • Menyalahgunakan ScreenConnect untuk menjalankan arahan penemuan dan alat pengimbasan rangkaian untuk mencari sasaran pergerakan sisi.
  • Menyasarkan sistem sandaran Veeam untuk mengekstrak bukti kelayakan sandaran daripada berbilang pangkalan data.
  • Menggunakan pemacu eskle.sys dalam serangan BYOVD untuk meneutralkan perisian keselamatan dan menamatkan proses pertahanan.
  • Menggunakan klien PuTTY SSH untuk bergerak secara sisi ke dalam hos Linux.
  • Menjalankan contoh proksi SOCKS merentas direktori berbeza untuk mengelirukan trafik C2 melalui pintu belakang COROXY.
  • Menggunakan WinSCP untuk memindahkan binari perisian tebusan Linux ke sistem Windows.
  • Memanfaatkan SRManager.exe Splashtop Remote untuk melaksanakan binari perisian tebusan Linux terus pada mesin Windows.

Penyasaran Impak dan Virtualisasi Merentas platform

Binari Linux menyediakan keupayaan merentas platform: satu muatan boleh menjejaskan kedua-dua sistem Linux dan Windows dalam persekitaran. Baru-baru ini, sampel Qilin telah dikemas kini untuk mengesan persekitaran Nutanix AHV, menunjukkan bahawa kumpulan itu mengembangkan penyasaran melangkaui penggunaan VMware tradisional ke dalam infrastruktur hiperkonvergen moden.

Ringkasan

Operasi Qilin menggabungkan pencurian bukti kelayakan, penyalahgunaan alatan pentadbir yang sah, teknik BYOVD, serangan yang disasarkan pada sistem sandaran dan perisian tebusan merentas platform untuk memaksimumkan impak dan mengelakkan pengesanan. Pembela harus mengutamakan kebersihan kelayakan, pengesahan berbilang faktor pada antara muka akses jauh, pembahagian sistem sandaran, pemantauan rapi untuk penggunaan alat pengurusan jauh yang sah secara anomali, dan kawalan untuk mengesan aktiviti BYOVD berasaskan pemandu. Langkah-langkah ini mengurangkan kemungkinan bahawa bukti kelayakan yang dituai atau satu titik tolak ansur akan membawa kepada penggunaan perisian tebusan skala penuh.

Trending

Paling banyak dilihat

Memuatkan...