किलिन र्‍यान्समवेयर समूह

किलिन (जसलाई एजेन्डा, गोल्ड फेदर र वाटर गालुरा पनि भनिन्छ) आज सक्रिय सबैभन्दा प्रचलित र्‍यान्समवेयर-एज-ए-सर्भिस (RaaS) अपरेशनहरू मध्ये एकमा विकसित भएको छ। २०२५ को सुरुवातदेखि समूहले प्रति महिना ४० भन्दा बढी पीडितहरू पोस्ट गर्दै आएको छ (जनवरी मात्र अपवाद थियो), जुनमा लगभग १०० चुहावट-साइट प्रविष्टिहरूमा शिखरमा पुगेको थियो र अगस्ट र सेप्टेम्बर २०२५ मा प्रत्येकमा ८४ पीडितहरू रेकर्ड गरेको थियो। जुलाई २०२२ देखि सक्रिय, किलिनको गति र रणनीतिहरूले यसलाई विश्वव्यापी उद्यमहरूको लागि उच्च-जोखिम अभिनेता बनाउँछ।

कसलाई हिट गरियो - भूगोल र उद्योगहरू

घटना टेलिमेट्रीको विश्लेषणले देखाउँछ कि किलिनका पीडितहरू उत्तरी अमेरिका र पश्चिमी युरोपमा केन्द्रित छन्, जसमा संयुक्त राज्य अमेरिका, क्यानडा, संयुक्त अधिराज्य, फ्रान्स र जर्मनी सबैभन्दा बढी प्रभावित देशहरू हुन्। समूहले केही ठाडो क्षेत्रहरूको पक्षमा छ: उत्पादनले अवलोकन गरिएका लक्ष्यहरूको लगभग २३%, व्यावसायिक र वैज्ञानिक सेवाहरू लगभग १८%, र थोक व्यापार लगभग १०% हो।

प्रारम्भिक पहुँच र प्रारम्भिक स्थान

अन्वेषकहरूले विश्वास गर्छन् कि धेरै Qilin सम्बद्ध घुसपैठहरू डार्क-वेब भण्डारहरूबाट प्राप्त लीक भएका प्रशासनिक प्रमाणहरूबाट सुरु हुन्छन्। विरोधीहरूले ती प्रमाणहरू VPN इन्टरफेस मार्फत लग इन गर्न र त्यसपछि डोमेन नियन्त्रकहरू र अन्य सम्झौता गरिएका अन्त्य बिन्दुहरूमा RDP जडानहरू प्रदर्शन गर्न प्रयोग गर्छन्। त्यहाँबाट, तिनीहरू वातावरण म्यापिङ र गहिरो जासूसीमा सर्छन्।

प्रमाणपत्र कटाई र औजार

Qilin अभियानहरूले क्रेडेन्सियल-फसल काट्ने उपकरणहरू र प्रविधिहरूको व्यापक प्रयोग गर्छन्। अपरेटरहरू र सम्बद्धहरूले ब्राउजरहरू, प्रणाली स्टोरहरू, र अन्य अनुप्रयोगहरूबाट गोप्य कुराहरू निकाल्न WebBrowserPassView.exe, BypassCredGuard.exe, र SharpDecryptPwd जस्ता उपयोगिताहरूसँग Mimikatz चलाउँछन्। काटिएका क्रेडेन्सियलहरू Visual Basic स्क्रिप्टहरू प्रयोग गरेर बाह्य SMTP सर्भरहरूमा एक्सफिल्टर गरिन्छ। जंगलमा अवलोकन गरिएको Mimikatz प्रयोगमा निम्न कार्यहरू समावेश छन्:

• विन्डोज घटना लगहरू खाली गर्नुहोस् र अन्यथा निशानहरू मेटाउनुहोस्;
• SeDebugPrivilege सक्षम गर्नुहोस्;
• SQLite डाटाबेसबाट सुरक्षित गरिएका क्रोम पासवर्डहरू निकाल्नुहोस्;
• अघिल्ला लगइनहरूबाट प्रमाणपत्रहरू पुन: प्राप्ति गर्नुहोस्; र
• RDP, SSH, र Citrix को लागि फसल कन्फिगरेसन र प्रमाणहरू।

जमिन बाहिर बसोबास र वैध उपकरणहरूको दुरुपयोग

धम्की दिने व्यक्तिहरूले स्पष्ट मालवेयरलाई वैध प्रणाली उपयोगिताहरू र प्रख्यात प्रशासक उपकरणहरूसँग मिसाउँछन्। तिनीहरूले संवेदनशील जानकारीको लागि म्यानुअल रूपमा सामग्री निरीक्षण गर्न mspaint.exe, notepad.exe, र iexplore.exe मार्फत फाइलहरू खोल्ने र दुर्भावनापूर्ण उद्देश्य लुकाउँदै रिमोट सर्भरहरूमा छानिएका फाइलहरू स्थानान्तरण गर्न वास्तविक साइबरडक क्लाइन्ट प्रयोग गरेको देखिएको छ।

चोरी भएका प्रमाणपत्रहरू कसरी प्रयोग गरिन्छ

एक पटक प्रमाणहरू हातमा भएपछि, Qilin अभिनेताहरूले विशेषाधिकारहरू बढाउँछन् र पार्श्व रूपमा फैलिन्छन्। विभिन्न रिमोट मोनिटरिङ एण्ड म्यानेजमेन्ट (RMM) र रिमोट-पहुँच उत्पादनहरू - AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist, र ScreenConnect - स्थापना गर्न उन्नत पहुँच प्रयोग गरिएको छ - यद्यपि अनुसन्धानकर्ताहरू (Talos) ले सधैं प्रत्येक उत्पादन मुख्यतया पार्श्व आन्दोलनको लागि वा निरन्तर रिमोट कन्ट्रोलको लागि प्रयोग गरिएको थियो कि भनेर निर्धारण गर्न सकेनन्।

चोरी, निरन्तरता, र शोषण पछिको अवस्था

पत्ता लगाउनबाट बच्न आक्रमणकारीहरूले AMSI लाई असक्षम पार्ने, TLS प्रमाणपत्र प्रमाणीकरण बन्द गर्ने र प्रतिबन्धित प्रशासक मोड सक्षम पार्ने PowerShell अनुक्रमहरू कार्यान्वयन गर्छन्। तिनीहरूले सुरक्षा उत्पादनहरू समाप्त गर्न डार्क-किल र HRSword जस्ता किल-स्विच शैली उपयोगिताहरू पनि तैनाथ गर्छन्। दृढता र गोप्य आदेश-र-नियन्त्रणको लागि तिनीहरूले कोबाल्ट स्ट्राइक र सिस्टमबीसी प्रयोग गर्छन्।

र्‍यान्समवेयर डिप्लोयमेन्ट र सफाई

अन्तिम चरण भनेको Qilin ransomware को तैनाती हो: फाइलहरू इन्क्रिप्ट गरिएका छन्, फिरौती नोटहरू इन्क्रिप्टेड फोल्डरहरूमा खसालिएका छन्, Windows घटना लगहरू मेटाइएका छन्, र भोल्युम छाया प्रतिलिपि सेवा (VSS) द्वारा सिर्जना गरिएका सबै छाया प्रतिलिपिहरू रिकभरी प्रयासहरूलाई निराश पार्न मेटाइएका छन्।

उन्नत हाइब्रिड आक्रमण श्रृंखलाहरू (विन्डोज + BYOVD मा लिनक्स बाइनरी)
केही परिष्कृत किलिन घटनाहरूले धेरै उन्नत प्रविधिहरूलाई संयोजन गरेका छन्। अपरेटरहरूले लिनक्स-कम्पाइल गरिएको र्यान्समवेयर बाइनरी तैनाथ गरेका छन् तर यसलाई विन्डोज होस्टहरूमा कार्यान्वयन गरेका छन्, प्रतिरक्षाहरू असक्षम पार्न त्यो पेलोडलाई 'आफ्नो कमजोर ड्राइभर ल्याउनुहोस्' (BYOVD) प्रविधिसँग जोडेका छन्, र वातावरणमा सार्न र पेलोडहरू कार्यान्वयन गर्न वैध IT व्यवस्थापन उपकरण प्रयोग गरेका छन्। यी आक्रमणहरूमा eskle.sys ड्राइभरलाई सुरक्षा नियन्त्रणहरू असक्षम पार्न, प्रक्रियाहरू नष्ट गर्न र पत्ता लगाउनबाट बच्न प्रयोग गरिने कमजोर ड्राइभर कम्पोनेन्टको रूपमा अवलोकन गरिएको थियो।

ब्याकअप लक्ष्यीकरण र अनुकूलित प्रमाणपत्र चोरी

किलिनले विशेष गरी भिम ब्याकअप पूर्वाधारलाई लक्षित गरेको छ। आक्रमणकारीहरूले ब्याकअप डाटाबेसहरू विरुद्ध विशेष प्रमाण निकासी उपकरणहरू प्रयोग गरेर प्रमाणहरू सङ्कलन गरे, रन्समवेयर छोड्नु अघि संस्थाहरूको विपद्-पुनर्प्राप्ति प्लेटफर्महरूलाई व्यवस्थित रूपमा सम्झौता गरे, प्रभावित पीडितहरूको लागि दांव उल्लेखनीय रूपमा बढाए।

फिसिङ र नक्कली क्याप्चा डेलिभरी संयन्त्रहरू

मान्य खाता दुरुपयोग बाहेक, केही घुसपैठहरू स्पियर-फिसिङ वा क्लाउडफ्लेयर R2 मा होस्ट गरिएका क्लिकफिक्स-शैलीका नक्कली क्याप्चा पृष्ठहरूबाट सुरु भएका थिए। ती पृष्ठहरूले जानकारी-चोर्ने पेलोडहरू प्रदान गर्ने देखिन्छ जसले प्रमाणहरू सङ्कलन गर्दछ, जुन त्यसपछि प्रारम्भिक नेटवर्क पहुँच प्राप्त गर्न पुन: प्रयोग गरिन्छ।

अवलोकन गरिएका प्रमुख प्रविधि र पूर्वाधारहरूमा समावेश छन्:

• रिमोट पहुँच र आदेश कार्यान्वयन सक्षम पार्न SOCKS प्रोक्सी DLL तैनाथ गर्दै।
• पार्श्व आन्दोलन लक्ष्यहरू पत्ता लगाउन खोज आदेशहरू र नेटवर्क स्क्यानिङ उपकरणहरू चलाउन ScreenConnect को दुरुपयोग गर्दै।
• धेरै डाटाबेसहरूबाट ब्याकअप प्रमाणहरू निकाल्न Veeam ब्याकअप प्रणालीहरूलाई लक्षित गर्दै।
• सुरक्षा सफ्टवेयरलाई बेअसर गर्न र रक्षात्मक प्रक्रियाहरू समाप्त गर्न BYOVD आक्रमणहरूमा eskle.sys ड्राइभर प्रयोग गर्दै।
• लिनक्स होस्टहरूमा पार्श्व रूपमा सार्नको लागि PuTTY SSH क्लाइन्टहरू तैनाथ गर्दै।
• COROXY ब्याकडोर मार्फत C2 ट्राफिकलाई अस्पष्ट पार्न विभिन्न निर्देशिकाहरूमा SOCKS प्रोक्सी उदाहरणहरू चलाउँदै।
• लिनक्स र्यान्समवेयर बाइनरीलाई विन्डोज प्रणालीहरूमा सार्न WinSCP प्रयोग गर्दै।
• विन्डोज मेसिनहरूमा सिधै लिनक्स र्यान्समवेयर बाइनरी कार्यान्वयन गर्न स्प्लासटप रिमोटको SRManager.exe को उपयोग गर्दै।

क्रस-प्लेटफर्म प्रभाव र भर्चुअलाइजेशन लक्ष्यीकरण

लिनक्स बाइनरीले क्रस-प्लेटफर्म क्षमता प्रदान गर्दछ: एकल पेलोडले वातावरणमा लिनक्स र विन्डोज प्रणाली दुवैलाई असर गर्न सक्छ। हालसालै, न्युटानिक्स एएचभी वातावरण पत्ता लगाउन किलिन नमूनाहरू अद्यावधिक गरिएको थियो, जसले समूहले परम्परागत VMware तैनातीभन्दा बाहिर आधुनिक हाइपरकन्भर्ज्ड पूर्वाधारहरूमा लक्ष्यीकरण विस्तार गरिरहेको देखाउँछ।

निष्कर्षमा

Qilin को सञ्चालनले क्रेडेन्सियल चोरी, वैध प्रशासक उपकरणको दुरुपयोग, BYOVD प्रविधिहरू, ब्याकअप प्रणालीहरूमा लक्षित आक्रमणहरू, र प्रभावलाई अधिकतम बनाउन र पत्ता लगाउनबाट बच्न क्रस-प्लेटफर्म रैन्समवेयरलाई संयोजन गर्दछ। डिफेन्डरहरूले क्रेडेन्सियल स्वच्छता, रिमोट पहुँच इन्टरफेसमा बहु-कारक प्रमाणीकरण, ब्याकअप प्रणालीहरूको विभाजन, वैध रिमोट-व्यवस्थापन उपकरणहरूको असामान्य प्रयोगको लागि कठोर निगरानी, र ड्राइभर-आधारित BYOVD गतिविधि पत्ता लगाउन नियन्त्रणहरूलाई प्राथमिकता दिनुपर्छ। यी उपायहरूले कटाई गरिएका क्रेडेन्सियलहरू वा सम्झौताको एकल बिन्दुले पूर्ण-स्तरीय रैन्समवेयर तैनाती निम्त्याउने सम्भावनालाई कम गर्छ।