กลุ่มแรนซัมแวร์ Qilin

Qilin (หรือที่รู้จักกันในชื่อ Agenda, Gold Feather และ Water Galura) ได้พัฒนาจนกลายเป็นหนึ่งในปฏิบัติการ Ransomware‑as‑a‑Service (RaaS) ที่แพร่หลายที่สุดในปัจจุบัน นับตั้งแต่ต้นปี 2568 กลุ่มนี้ได้เผยแพร่เหยื่อมากกว่า 40 รายต่อเดือน (ยกเว้นเดือนมกราคมเพียงเดือนเดียว) โดยมีรายงานผู้บุกรุกเข้าสู่เว็บไซต์รั่วไหลสูงสุดประมาณ 100 รายในเดือนมิถุนายน และบันทึกเหยื่อ 84 รายในเดือนสิงหาคมและกันยายน 2568 Qilin เริ่มดำเนินการตั้งแต่ประมาณเดือนกรกฎาคม 2565 ด้วยความเร็วและกลยุทธ์ที่ฉับไว ทำให้ Qilin กลายเป็นผู้กระทำที่มีความเสี่ยงสูงสำหรับองค์กรต่างๆ ทั่วโลก

ใครถูกโจมตี - ภูมิศาสตร์และอุตสาหกรรม

จากการวิเคราะห์ข้อมูลทางไกลของเหตุการณ์พบว่าเหยื่อของพายุ Qilin กระจุกตัวอยู่ในอเมริกาเหนือและยุโรปตะวันตก โดยสหรัฐอเมริกา แคนาดา สหราชอาณาจักร ฝรั่งเศส และเยอรมนี เป็นประเทศที่ได้รับผลกระทบมากที่สุด กลุ่มนี้ให้ความสำคัญกับกลุ่มอุตสาหกรรมบางกลุ่ม ได้แก่ กลุ่มการผลิตคิดเป็นประมาณ 23% ของเป้าหมายที่สังเกต กลุ่มบริการวิชาชีพและวิทยาศาสตร์คิดเป็น 18% และกลุ่มการค้าส่งคิดเป็นประมาณ 10%

การเข้าถึงเบื้องต้นและการยึดครองในระยะเริ่มแรก

เจ้าหน้าที่สืบสวนเชื่อว่าการบุกรุกเครือข่าย Qilin จำนวนมากเริ่มต้นจากข้อมูลประจำตัวผู้ดูแลระบบที่รั่วไหลซึ่งได้มาจากแหล่งเก็บข้อมูลในเว็บมืด ฝ่ายตรงข้ามใช้ข้อมูลประจำตัวเหล่านั้นเพื่อเข้าสู่ระบบผ่านอินเทอร์เฟซ VPN จากนั้นจึงทำการเชื่อมต่อ RDP ไปยังตัวควบคุมโดเมนและจุดเชื่อมต่ออื่นๆ ที่ถูกบุกรุก จากนั้นพวกเขาจะดำเนินการจัดทำแผนที่สภาพแวดล้อมและการลาดตระเวนเชิงลึกมากขึ้น

การเก็บเกี่ยวข้อมูลประจำตัวและเครื่องมือ

แคมเปญ Qilin ใช้เครื่องมือและเทคนิคการเก็บเกี่ยวข้อมูลประจำตัวอย่างกว้างขวาง ผู้ให้บริการและบริษัทในเครือใช้ Mimikatz ร่วมกับยูทิลิตี้ต่างๆ เช่น WebBrowserPassView.exe, BypassCredGuard.exe และ SharpDecryptPwd เพื่อดึงข้อมูลลับจากเบราว์เซอร์ พื้นที่จัดเก็บในระบบ และแอปพลิเคชันอื่นๆ ข้อมูลประจำตัวที่เก็บเกี่ยวจะถูกดึงออกไปยังเซิร์ฟเวอร์ SMTP ภายนอกโดยใช้สคริปต์ Visual Basic การใช้งาน Mimikatz ที่พบโดยทั่วไปประกอบด้วยการดำเนินการดังต่อไปนี้:

• ล้างบันทึกเหตุการณ์ของ Windows และลบร่องรอยอื่นๆ
• เปิดใช้งาน SeDebugPrivilege;
• แยกรหัสผ่าน Chrome ที่บันทึกไว้จากฐานข้อมูล SQLite
• กู้คืนข้อมูลประจำตัวจากการเข้าสู่ระบบครั้งก่อน และ
• การกำหนดค่าการเก็บเกี่ยวและข้อมูลประจำตัวสำหรับ RDP, SSH และ Citrix

การใช้ชีวิตนอกพื้นที่และการใช้อุปกรณ์ที่ถูกกฎหมายในทางที่ผิด

ผู้ก่อภัยคุกคามมักผสมมัลแวร์ที่เห็นได้ชัดเข้ากับยูทิลิตี้ระบบที่ถูกกฎหมายและเครื่องมือผู้ดูแลระบบที่เป็นที่รู้จักเพื่อผสมผสานเข้าด้วยกัน พบว่าพวกเขาเปิดไฟล์ด้วย mspaint.exe, notepad.exe และ iexplore.exe เพื่อตรวจสอบเนื้อหาด้วยตนเองเพื่อหาข้อมูลที่ละเอียดอ่อน และใช้ไคลเอนต์ Cyberduck ที่ถูกต้องตามกฎหมายเพื่อถ่ายโอนไฟล์ที่เลือกไปยังเซิร์ฟเวอร์ระยะไกลพร้อมซ่อนเจตนาที่เป็นอันตราย

ข้อมูลประจำตัวที่ถูกขโมยมาใช้ประโยชน์อย่างไร

เมื่อได้รับข้อมูลประจำตัวแล้ว ผู้กระทำการของ Qilin ก็จะยกระดับสิทธิพิเศษและขยายขอบเขตไปในทิศทางด้านข้าง การเข้าถึงระดับสูงถูกนำมาใช้เพื่อติดตั้งผลิตภัณฑ์สำหรับการตรวจสอบและจัดการระยะไกล (RMM) และการเข้าถึงระยะไกลหลากหลายประเภท เช่น AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist และ ScreenConnect แม้ว่านักวิจัย (Talos) จะยังไม่สามารถระบุได้เสมอไปว่าผลิตภัณฑ์แต่ละชนิดใช้สำหรับการเคลื่อนไหวในทิศทางด้านข้างเป็นหลักหรือสำหรับการควบคุมระยะไกลอย่างต่อเนื่อง

การหลีกเลี่ยง ความคงอยู่ และหลังการแสวงประโยชน์

เพื่อหลีกเลี่ยงการถูกตรวจจับ ผู้โจมตีจะดำเนินการตามลำดับขั้นตอนของ PowerShell ซึ่งปิดใช้งาน AMSI ปิดการตรวจสอบใบรับรอง TLS และเปิดใช้งานโหมดผู้ดูแลระบบแบบจำกัด พวกเขายังใช้ยูทิลิตี้แบบ kill-switch เช่น dark-kill และ HRSword เพื่อยุติการทำงานของผลิตภัณฑ์รักษาความปลอดภัย สำหรับการคงอยู่และการควบคุมแบบซ่อนเร้น พวกเขาใช้ Cobalt Strike และ SystemBC

การปรับใช้และการทำความสะอาด Ransomware

ขั้นตอนสุดท้ายคือการใช้งาน Qilin ransomware: ไฟล์จะถูกเข้ารหัส บันทึกการเรียกค่าไถ่จะถูกวางไว้ในโฟลเดอร์ที่เข้ารหัส บันทึกเหตุการณ์ของ Windows จะถูกลบ และสำเนาเงาทั้งหมดที่สร้างโดย Volume Shadow Copy Service (VSS) จะถูกลบออก เพื่อลดความพยายามในการกู้คืน

โซ่โจมตีไฮบริดขั้นสูง (ไบนารี Linux บน Windows + BYOVD)
เหตุการณ์ฉีหลินที่ซับซ้อนบางกรณีได้ผสมผสานเทคนิคขั้นสูงหลายอย่างเข้าด้วยกัน ผู้ปฏิบัติการได้นำไบนารีแรนซัมแวร์ที่คอมไพล์ด้วย Linux มาใช้งาน แต่กลับรันบนโฮสต์ Windows จับคู่เพย์โหลดนั้นกับเทคนิค 'bring your own vulnerable driver' (BYOVD) เพื่อปิดระบบป้องกัน และใช้เครื่องมือการจัดการไอทีที่ถูกต้องตามกฎหมายเพื่อดำเนินการผ่านสภาพแวดล้อมและรันเพย์โหลด ในการโจมตีเหล่านี้ พบว่าไดรเวอร์ eskle.sys เป็นส่วนประกอบของไดรเวอร์ที่มีช่องโหว่ ซึ่งใช้เพื่อปิดการควบคุมความปลอดภัย ปิดกระบวนการ และหลบเลี่ยงการตรวจจับ

การกำหนดเป้าหมายการสำรองข้อมูลและการโจรกรรมข้อมูลประจำตัวที่ปรับแต่ง

Qilin ได้มุ่งเป้าไปที่โครงสร้างพื้นฐานการสำรองข้อมูลของ Veeam โดยเฉพาะ ผู้โจมตีใช้เครื่องมือดึงข้อมูลประจำตัวเฉพาะทางกับฐานข้อมูลสำรองเพื่อขโมยข้อมูลประจำตัว เจาะระบบกู้คืนระบบขององค์กรอย่างเป็นระบบก่อนที่จะปล่อยแรนซัมแวร์ ซึ่งทำให้เหยื่อได้รับผลกระทบอย่างรุนแรง

ฟิชชิ่งและกลไกการส่ง CAPTCHA ปลอม

นอกเหนือจากการละเมิดบัญชีที่ถูกต้องแล้ว การบุกรุกบางกรณียังเริ่มต้นด้วยการฟิชชิงแบบสเปียร์ หรือหน้า CAPTCHA ปลอมสไตล์ ClickFix ที่โฮสต์บน Cloudflare R2 หน้าเหล่านี้ดูเหมือนจะส่งเพย์โหลดขโมยข้อมูล ซึ่งจะรวบรวมข้อมูลประจำตัว แล้วจึงนำกลับมาใช้ซ้ำเพื่อเข้าถึงเครือข่ายเบื้องต้น

เทคนิคและโครงสร้างพื้นฐานที่สำคัญที่สังเกตได้ ได้แก่:

• การปรับใช้ DLL พร็อกซี SOCKS เพื่อเปิดใช้งานการเข้าถึงระยะไกลและการดำเนินการคำสั่ง
• การใช้ ScreenConnect ในทางที่ผิดในการรันคำสั่งการค้นหาและเครื่องมือสแกนเครือข่ายเพื่อค้นหาเป้าหมายการเคลื่อนไหวด้านข้าง
• กำหนดเป้าหมายระบบสำรองข้อมูล Veeam เพื่อดึงข้อมูลรับรองการสำรองข้อมูลจากฐานข้อมูลหลาย ๆ แห่ง
• การใช้ไดรเวอร์ eskle.sys ในการโจมตี BYOVD เพื่อทำให้ซอฟต์แวร์ความปลอดภัยเป็นกลางและยุติกระบวนการป้องกัน
• การปรับใช้ไคลเอนต์ PuTTY SSH เพื่อย้ายไปยังโฮสต์ Linux ในแนวนอน
• การรันอินสแตนซ์พร็อกซี SOCKS ในไดเร็กทอรีต่างๆ เพื่อปกปิดการรับส่งข้อมูล C2 ผ่านทางแบ็กดอร์ COROXY
• การใช้ WinSCP เพื่อย้ายไบนารี ransomware ของ Linux ไปยังระบบ Windows
• การใช้ประโยชน์จาก SRManager.exe ของ Splashtop Remote เพื่อดำเนินการไบนารี ransomware Linux โดยตรงบนเครื่อง Windows

การกำหนดเป้าหมายผลกระทบข้ามแพลตฟอร์มและการเสมือนจริง

ไบนารี Linux มอบความสามารถในการใช้งานข้ามแพลตฟอร์ม: เพย์โหลดเดียวสามารถส่งผลกระทบต่อทั้งระบบ Linux และ Windows ในสภาพแวดล้อมเดียวกันได้ เมื่อไม่นานมานี้ ตัวอย่างของ Qilin ได้รับการอัปเดตเพื่อตรวจจับสภาพแวดล้อม Nutanix AHV ซึ่งแสดงให้เห็นว่ากลุ่มนี้กำลังขยายการกำหนดเป้าหมายไปไกลกว่าการใช้งาน VMware แบบเดิมไปสู่โครงสร้างพื้นฐานไฮเปอร์คอนเวอร์จที่ทันสมัย

สรุป

การดำเนินงานของ Qilin ผสมผสานการขโมยข้อมูลประจำตัว การใช้เครื่องมือผู้ดูแลระบบที่ถูกต้องตามกฎหมายอย่างผิดวิธี เทคนิค BYOVD การโจมตีแบบกำหนดเป้าหมายบนระบบสำรองข้อมูล และแรนซัมแวร์ข้ามแพลตฟอร์ม เพื่อเพิ่มผลกระทบสูงสุดและหลีกเลี่ยงการตรวจจับ ผู้ป้องกันควรให้ความสำคัญกับการรักษาความปลอดภัยของข้อมูลประจำตัว การยืนยันตัวตนแบบหลายปัจจัยบนอินเทอร์เฟซการเข้าถึงระยะไกล การแบ่งส่วนระบบสำรองข้อมูล การตรวจสอบอย่างเข้มงวดเพื่อหาการใช้งานเครื่องมือการจัดการระยะไกลที่ถูกต้องตามกฎหมายอย่างผิดปกติ และการควบคุมเพื่อตรวจจับกิจกรรม BYOVD ของไดรเวอร์ มาตรการเหล่านี้ช่วยลดโอกาสที่ข้อมูลประจำตัวที่ถูกขโมยไปหรือจุดที่ถูกบุกรุกเพียงจุดเดียวจะนำไปสู่การใช้งานแรนซัมแวร์เต็มรูปแบบ