கிலின் ரான்சம்வேர் குழு
Qilin (Agenda, Gold Feather, மற்றும் Water Galura என்றும் கண்காணிக்கப்படுகிறது) இன்று செயலில் உள்ள மிகவும் வளமான Ransomware-as-a-Service (RaaS) செயல்பாடுகளில் ஒன்றாக உருவெடுத்துள்ளது. 2025 ஆம் ஆண்டின் தொடக்கத்திலிருந்து இந்த குழு மாதத்திற்கு 40 க்கும் மேற்பட்ட பாதிக்கப்பட்டவர்களை இடுகையிட்டு வருகிறது (ஜனவரி மட்டுமே விதிவிலக்கு), ஜூன் மாதத்தில் சுமார் 100 கசிவு-தள உள்ளீடுகளை எட்டியது மற்றும் ஆகஸ்ட் மற்றும் செப்டம்பர் 2025 இல் ஒவ்வொன்றிலும் 84 பாதிக்கப்பட்டவர்களைப் பதிவு செய்தது. ஜூலை 2022 முதல் செயலில் உள்ள Qilin இன் வேகமும் தந்திரோபாயங்களும் அதை உலகளாவிய நிறுவனங்களுக்கு அதிக ஆபத்துள்ள செயலாக ஆக்குகின்றன.
யார் பாதிக்கப்பட்டார்கள் - புவியியல் மற்றும் தொழில்கள்
சம்பவ டெலிமெட்ரி பகுப்பாய்வு, கிலினின் பாதிக்கப்பட்டவர்கள் வட அமெரிக்கா மற்றும் மேற்கு ஐரோப்பாவில் குவிந்துள்ளனர் என்பதைக் காட்டுகிறது, அமெரிக்கா, கனடா, யுனைடெட் கிங்டம், பிரான்ஸ் மற்றும் ஜெர்மனி ஆகியவை மிகவும் பாதிக்கப்பட்ட நாடுகளில் அடங்கும். இந்த குழு சில செங்குத்துகளை ஆதரிக்கிறது: கவனிக்கப்பட்ட இலக்குகளில் உற்பத்தி சுமார் 23%, தொழில்முறை மற்றும் அறிவியல் சேவைகள் சுமார் 18%, மற்றும் மொத்த வர்த்தகம் சுமார் 10%.
ஆரம்ப அணுகல் மற்றும் ஆரம்ப காலடி
பல கிலின் இணைப்பு ஊடுருவல்கள் டார்க்-வலை களஞ்சியங்களிலிருந்து பெறப்பட்ட கசிந்த நிர்வாகச் சான்றுகளுடன் தொடங்குகின்றன என்று புலனாய்வாளர்கள் நம்புகின்றனர். எதிரிகள் அந்தச் சான்றுகளைப் பயன்படுத்தி VPN இடைமுகம் வழியாக உள்நுழைந்து, பின்னர் டொமைன் கட்டுப்படுத்திகள் மற்றும் பிற சமரசம் செய்யப்பட்ட இறுதிப் புள்ளிகளுடன் RDP இணைப்புகளைச் செய்கிறார்கள். அங்கிருந்து, அவர்கள் சுற்றுச்சூழல் மேப்பிங் மற்றும் ஆழமான உளவுத்துறைக்குச் செல்கிறார்கள்.
சான்று அறுவடை மற்றும் கருவி தயாரித்தல்
Qilin பிரச்சாரங்கள் நற்சான்றிதழ் அறுவடை கருவிகள் மற்றும் நுட்பங்களை விரிவாகப் பயன்படுத்துகின்றன. உலாவிகள், சிஸ்டம் ஸ்டோர்கள் மற்றும் பிற பயன்பாடுகளிலிருந்து ரகசியங்களைப் பெற, ஆபரேட்டர்கள் மற்றும் துணை நிறுவனங்கள் Mimikatz ஐ WebBrowserPassView.exe, BypassCredGuard.exe மற்றும் SharpDecryptPwd போன்ற பயன்பாடுகளுடன் இயக்குகின்றன. அறுவடை செய்யப்பட்ட நற்சான்றிதழ்கள் Visual Basic ஸ்கிரிப்ட்களைப் பயன்படுத்தி வெளிப்புற SMTP சேவையகங்களுக்கு வெளியேற்றப்படுகின்றன. காட்டுப்பகுதியில் காணப்பட்ட Mimikatz பயன்பாட்டில் பின்வருவனவற்றிற்கான செயல்கள் அடங்கும்:
- விண்டோஸ் நிகழ்வுப் பதிவுகளை அழிக்கவும், இல்லையெனில் தடயங்களை அழிக்கவும்;
- SeDebugPrivilege ஐ இயக்கு;
- SQLite தரவுத்தளங்களிலிருந்து சேமிக்கப்பட்ட Chrome கடவுச்சொற்களைப் பிரித்தெடுக்கவும்;
- முந்தைய உள்நுழைவுகளிலிருந்து சான்றுகளை மீட்டெடுக்கவும்; மற்றும்
- RDP, SSH மற்றும் Citrix க்கான அறுவடை உள்ளமைவு மற்றும் சான்றுகள்.
நிலத்திற்கு வெளியே வாழ்வதும், சட்டப்பூர்வமான கருவிகள் துஷ்பிரயோகம் செய்யப்படுவதும்
அச்சுறுத்தல் ஏற்படுத்தும் நபர்கள் வெளிப்படையான தீம்பொருளை முறையான கணினி பயன்பாடுகள் மற்றும் நன்கு அறியப்பட்ட நிர்வாக கருவிகளுடன் கலக்கின்றனர். அவர்கள் mspaint.exe, notepad.exe மற்றும் iexplore.exe உடன் கோப்புகளைத் திறந்து முக்கியமான தகவல்களை கைமுறையாக ஆய்வு செய்வதையும், தீங்கிழைக்கும் நோக்கத்தை மறைத்து, தேர்ந்தெடுக்கப்பட்ட கோப்புகளை தொலை சேவையகங்களுக்கு மாற்றுவதற்கு நம்பகமான Cyberduck கிளையண்டைப் பயன்படுத்துவதையும் காண முடிகிறது.
திருடப்பட்ட சான்றுகள் எவ்வாறு பயன்படுத்தப்படுகின்றன
சான்றுகள் கைக்கு வந்தவுடன், Qilin நடிகர்கள் சலுகைகளை அதிகரித்து பக்கவாட்டில் பரவுகிறார்கள். AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist மற்றும் ScreenConnect போன்ற பல்வேறு தொலைநிலை கண்காணிப்பு மற்றும் மேலாண்மை (RMM) மற்றும் தொலைநிலை அணுகல் தயாரிப்புகளை நிறுவ உயர்த்தப்பட்ட அணுகல் பயன்படுத்தப்பட்டுள்ளது - இருப்பினும் ஆராய்ச்சியாளர்களால் (Talos) ஒவ்வொரு தயாரிப்பும் முதன்மையாக பக்கவாட்டு இயக்கத்திற்காகவோ அல்லது தொடர்ச்சியான தொலைநிலைக் கட்டுப்பாட்டிற்காகவோ பயன்படுத்தப்பட்டதா என்பதை எப்போதும் தீர்மானிக்க முடியவில்லை.
ஏய்ப்பு, விடாமுயற்சி மற்றும் சுரண்டலுக்குப் பிந்தைய காலம்
கண்டறிதலைத் தவிர்க்க, தாக்குபவர்கள் AMSI ஐ முடக்கும் பவர்ஷெல் வரிசைகளை இயக்குகிறார்கள், TLS சான்றிதழ் சரிபார்ப்பை முடக்குகிறார்கள், மேலும் கட்டுப்படுத்தப்பட்ட நிர்வாக பயன்முறையை இயக்குகிறார்கள். பாதுகாப்பு தயாரிப்புகளை நிறுத்த டார்க்-கில் மற்றும் HRSword போன்ற கில்-ஸ்விட்ச் பாணி பயன்பாடுகளையும் அவர்கள் பயன்படுத்துகிறார்கள். நிலைத்தன்மை மற்றும் ரகசிய கட்டளை மற்றும் கட்டுப்பாட்டிற்கு அவர்கள் கோபால்ட் ஸ்ட்ரைக் மற்றும் சிஸ்டம்பிசியைப் பயன்படுத்துகிறார்கள்.
ரான்சம்வேர் பயன்பாடு மற்றும் சுத்தம் செய்தல்
இறுதி கட்டம் Qilin ransomware ஐப் பயன்படுத்துவதாகும்: கோப்புகள் குறியாக்கம் செய்யப்படுகின்றன, மீட்கும் குறிப்புகள் மறைகுறியாக்கப்பட்ட கோப்புறைகளில் விடப்படுகின்றன, Windows நிகழ்வு பதிவுகள் துடைக்கப்படுகின்றன, மேலும் Volume Shadow Copy Service (VSS) ஆல் உருவாக்கப்பட்ட அனைத்து நிழல் நகல்களும் மீட்பு முயற்சிகளை விரக்தியடையச் செய்ய நீக்கப்படுகின்றன.
மேம்பட்ட கலப்பின தாக்குதல் சங்கிலிகள் (விண்டோஸில் லினக்ஸ் பைனரி + BYOVD)
சில அதிநவீன Qilin சம்பவங்கள் பல மேம்பட்ட நுட்பங்களை இணைத்துள்ளன. ஆபரேட்டர்கள் Linux-தொகுக்கப்பட்ட ransomware பைனரியைப் பயன்படுத்தியுள்ளனர், ஆனால் அதை Windows ஹோஸ்ட்களில் செயல்படுத்தியுள்ளனர், அந்த பேலோடை 'உங்கள் சொந்த பாதிக்கப்படக்கூடிய இயக்கியைக் கொண்டு வாருங்கள்' (BYOVD) நுட்பத்துடன் இணைத்து பாதுகாப்புகளை முடக்கினர், மேலும் சுற்றுச்சூழலின் வழியாக நகர்ந்து பேலோடுகளை இயக்க முறையான IT மேலாண்மை கருவிகளைப் பயன்படுத்தினர். இந்தத் தாக்குதல்களில், eskle.sys இயக்கி பாதுகாப்புக் கட்டுப்பாடுகளை முடக்கவும், செயல்முறைகளைக் கொல்லவும் மற்றும் கண்டறிதலைத் தவிர்க்கவும் பயன்படுத்தப்படும் பாதிக்கப்படக்கூடிய இயக்கி கூறுகளாகக் காணப்பட்டது.
காப்புப்பிரதி இலக்கு மற்றும் வடிவமைக்கப்பட்ட நற்சான்றிதழ் திருட்டு
Qilin குறிப்பாக Veeam காப்பு உள்கட்டமைப்பை குறிவைத்துள்ளது. தாக்குதல் நடத்தியவர்கள் சான்றுகளை சேகரிக்க காப்பு தரவுத்தளங்களுக்கு எதிராக சிறப்பு சான்று பிரித்தெடுக்கும் கருவிகளைப் பயன்படுத்தினர், ransomware ஐ கைவிடுவதற்கு முன்பு நிறுவனங்களின் பேரழிவு மீட்பு தளங்களை முறையாக சமரசம் செய்தனர், பாதிக்கப்பட்ட பாதிக்கப்பட்டவர்களுக்கு பங்குகளை கணிசமாக உயர்த்தினர்.
ஃபிஷிங் மற்றும் போலி CAPTCHA டெலிவரி வழிமுறைகள்
செல்லுபடியாகும் கணக்கு துஷ்பிரயோகத்திற்கு அப்பால், சில ஊடுருவல்கள் ஸ்பியர்-ஃபிஷிங் அல்லது Cloudflare R2 இல் ஹோஸ்ட் செய்யப்பட்ட ClickFix-பாணி போலி CAPTCHA பக்கங்களுடன் தொடங்கின. அந்தப் பக்கங்கள் நற்சான்றிதழ்களைப் பறிக்கும் தகவல்-திருடர் பேலோடுகளை வழங்குவதாகத் தெரிகிறது, பின்னர் அவை ஆரம்ப நெட்வொர்க் அணுகலைப் பெற மீண்டும் பயன்படுத்தப்படுகின்றன.
கவனிக்கப்பட்ட முக்கிய நுட்பங்கள் மற்றும் உள்கட்டமைப்புகளில் பின்வருவன அடங்கும்:
- தொலைநிலை அணுகல் மற்றும் கட்டளை செயல்படுத்தலை செயல்படுத்த SOCKS ப்ராக்ஸி DLL ஐப் பயன்படுத்துதல்.
- பக்கவாட்டு இயக்க இலக்குகளைக் கண்டறிய கண்டுபிடிப்பு கட்டளைகள் மற்றும் நெட்வொர்க் ஸ்கேனிங் கருவிகளை இயக்க ScreenConnect ஐ தவறாகப் பயன்படுத்துதல்.
- பல தரவுத்தளங்களிலிருந்து காப்பு நற்சான்றிதழ்களைப் பிரித்தெடுக்க வீம் காப்பு அமைப்புகளை இலக்காகக் கொண்டது.
- BYOVD தாக்குதல்களில் eskle.sys இயக்கியைப் பயன்படுத்தி பாதுகாப்பு மென்பொருளை நடுநிலையாக்குதல் மற்றும் தற்காப்பு செயல்முறைகளை நிறுத்துதல்.
- லினக்ஸ் ஹோஸ்ட்களுக்குள் பக்கவாட்டில் நகர்த்த புட்டி SSH கிளையண்டுகளைப் பயன்படுத்துதல்.
- COROXY பின்கதவு வழியாக C2 போக்குவரத்தை குழப்புவதற்காக வெவ்வேறு கோப்பகங்களில் SOCKS ப்ராக்ஸி நிகழ்வுகளை இயக்குதல்.
- Linux ransomware பைனரியை Windows கணினிகளுக்கு நகர்த்த WinSCP ஐப் பயன்படுத்துதல்.
- விண்டோஸ் கணினிகளில் நேரடியாக Linux ransomware பைனரியை இயக்க Splashtop Remote இன் SRManager.exe ஐப் பயன்படுத்துதல்.
குறுக்கு-தள தாக்கம் மற்றும் மெய்நிகராக்க இலக்கு
லினக்ஸ் பைனரி குறுக்கு-தள திறனை வழங்குகிறது: ஒரு ஒற்றை பேலோட் ஒரு சூழலில் லினக்ஸ் மற்றும் விண்டோஸ் அமைப்புகள் இரண்டையும் பாதிக்கலாம். மிக சமீபத்தில், நியூட்டானிக்ஸ் AHV சூழல்களைக் கண்டறிய Qilin மாதிரிகள் புதுப்பிக்கப்பட்டன, இது குழு பாரம்பரிய VMware வரிசைப்படுத்தல்களுக்கு அப்பால் நவீன ஹைப்பர்கன்வெர்ஜ் செய்யப்பட்ட உள்கட்டமைப்புகளில் இலக்கை விரிவுபடுத்துகிறது என்பதை நிரூபிக்கிறது.
சுருக்கம்
Qilin-இன் செயல்பாடு, நற்சான்றிதழ் திருட்டு, முறையான நிர்வாக கருவிகளின் தவறான பயன்பாடு, BYOVD நுட்பங்கள், காப்பு அமைப்புகளில் இலக்கு வைக்கப்பட்ட தாக்குதல்கள் மற்றும் தாக்கத்தை அதிகரிக்கவும் கண்டறிதலைத் தவிர்க்கவும் குறுக்கு-தளம் ransomware ஆகியவற்றை ஒருங்கிணைக்கிறது. பாதுகாவலர்கள் நற்சான்றிதழ் சுகாதாரம், தொலைநிலை அணுகல் இடைமுகங்களில் மல்டிஃபாக்டர் அங்கீகாரம், காப்பு அமைப்புகளின் பிரிவு, முறையான தொலைநிலை மேலாண்மை கருவிகளின் முரண்பாடான பயன்பாட்டிற்கான கடுமையான கண்காணிப்பு மற்றும் இயக்கி அடிப்படையிலான BYOVD செயல்பாட்டைக் கண்டறிய கட்டுப்பாடுகள் ஆகியவற்றிற்கு முன்னுரிமை அளிக்க வேண்டும். இந்த நடவடிக்கைகள் அறுவடை செய்யப்பட்ட நற்சான்றிதழ்கள் அல்லது ஒரு சமரசப் புள்ளி முழு அளவிலான ransomware வரிசைப்படுத்தலுக்கு வழிவகுக்கும் வாய்ப்பைக் குறைக்கின்றன.
