麒麟勒索病毒組織
麒麟(又稱 Agenda、Gold Feather 和 Water Galura)已發展成為當今最活躍的勒索軟體即服務 (RaaS) 組織之一。自 2025 年初以來,該組織每月發布超過 40 個受害者資訊(1 月是唯一的例外),6 月的洩漏站點記錄達到峰值,約為 100 個,8 月和 9 月分別記錄了 84 個受害者資訊。麒麟自 2022 年 7 月左右開始活躍,其攻擊速度和攻擊策略使其成為全球企業面臨的高風險威脅。
目錄
誰受到了打擊——地理和行業
事件遙測分析顯示,麒麟的受害者集中在北美和西歐,其中美國、加拿大、英國、法國和德國是受影響最嚴重的國家。該組織青睞某些垂直產業:製造業約佔觀察到目標的23%,專業和科學服務約佔18%,批發貿易約佔10%。
初始訪問和早期立足點
調查人員認為,麒麟公司旗下的許多入侵事件都始於從暗網儲存庫取得的洩漏的管理憑證。攻擊者使用這些憑證透過VPN介面登錄,然後與網域控制器和其他受感染的端點建立RDP連線。之後,他們開始進行環境映射和更深入的偵察。
憑證收集和工具
麒麟攻擊活動廣泛使用憑證收集工具和技術。運營者和關聯人員會運行 Mimikatz 以及 WebBrowserPassView.exe、BypassCredGuard.exe 和 SharpDecryptPwd 等實用程序,從瀏覽器、系統儲存和其他應用程式中竊取機密資訊。收集到的憑證會使用 Visual Basic 腳本外洩到外部 SMTP 伺服器。在野外觀察到的 Mimikatz 使用行為包括:
- 清除 Windows 事件日誌並刪除痕跡;
- 啟用 SeDebugPrivilege;
- 從 SQLite 資料庫中提取已儲存的 Chrome 密碼;
- 恢復先前登入的憑證;以及
- 收集 RDP、SSH 和 Citrix 的設定和憑證。
土地自給自足和合法工具被濫用
威脅行為者將明顯的惡意軟體與合法的系統實用程式和知名的管理工具混合在一起,以達到隱藏的目的。他們被發現使用 mspaint.exe、notepad.exe 和 iexplore.exe 打開文件,手動檢查內容中的敏感信息,並使用真正的 Cyberduck 用戶端將選定的文件傳輸到遠端伺服器,同時隱藏惡意意圖。
如何利用被盜憑證
一旦掌握了憑證,麒麟攻擊者就會提升權限並橫向擴散。提升的存取權限已被用於安裝各種遠端監控和管理 (RMM) 和遠端存取產品——AnyDesk、Chrome 遠端桌面、Distant Desktop、GoToDesk、QuickAssist 和 ScreenConnect——儘管研究人員 (Talos) 無法確定每種產品主要用於橫向移動還是持續遠端控制。
逃避、持久性和後期利用
為了逃避偵測,攻擊者會執行 PowerShell 序列來停用 AMSI、關閉 TLS 憑證驗證並啟用受限管理員模式。他們也會部署類似 kill-switch 的實用程序,例如 dark-kill 和 HRSword,以終止安全產品。為了保持持久性和隱蔽的命令與控制,他們使用 Cobalt Strike 和 SystemBC。
勒索軟體部署與清理
最後階段是部署麒麟勒索軟體:加密檔案、將勒索信放入加密資料夾中、擦除 Windows 事件日誌、刪除卷影複製服務 (VSS) 創建的所有捲影副本,以阻止復原工作。
進階混合攻擊鏈(Windows 上的 Linux 二進位檔案 + BYOVD)
一些複雜的麒麟攻擊事件結合了多種先進技術。攻擊者部署了一個在 Linux 上編譯的勒索軟體二進位文件,並在 Windows 主機上執行,將該有效載荷與「自帶易受攻擊的驅動程式」(BYOVD)技術配對以禁用防禦措施,並使用合法的 IT 管理工具在環境中移動並執行有效載荷。在這些攻擊中,eskle.sys 驅動程式被觀察到是用於停用安全控制、終止進程和逃避偵測的易受攻擊的驅動程式元件。
備份目標和客製化憑證盜竊
麒麟專門針對 Veeam 備份基礎架構發動攻擊。攻擊者使用專門的憑證提取工具針對備份資料庫竊取憑證,系統性地入侵組織的災難復原平台,然後投放勒索軟體,大大增加了受害者的風險。
網路釣魚與偽造驗證碼傳遞機制
除了有效的帳號濫用之外,某些入侵行為還始於魚叉式網路釣魚或託管在 Cloudflare R2 上的 ClickFix 式偽造驗證碼頁面。這些頁面似乎會傳遞資訊竊取工具的有效載荷,用於竊取憑證,然後重新使用這些憑證來取得初始網路存取權限。
觀察到的關鍵技術和基礎設施包括:
- 部署 SOCKS 代理 DLL 以實現遠端存取和命令執行。
- 濫用 ScreenConnect 執行發現指令和網路掃描工具來定位橫向移動目標。
- 針對 Veeam 備份系統從多個資料庫中提取備份憑證。
- 在 BYOVD 攻擊中使用 eskle.sys 驅動程式來中和安全軟體並終止防禦進程。
- 部署 PuTTY SSH 用戶端以橫向移動到 Linux 主機。
- 跨不同目錄執行 SOCKS 代理實例,以透過 COROXY 後門混淆 C2 流量。
- 使用 WinSCP 將 Linux 勒索軟體二進位檔案移至 Windows 系統上。
- 利用 Splashtop Remote 的 SRManager.exe 直接在 Windows 機器上執行 Linux 勒索軟體二進位。
跨平台影響與虛擬化目標
Linux 二進位檔案具有跨平台功能:單一有效載荷即可同時影響環境中的 Linux 和 Windows 系統。最近,Qilin 樣本已更新,可偵測 Nutanix AHV 環境,這表明該組織正在將目標範圍從傳統的 VMware 部署擴展到現代超融合基礎架構。
概括
麒麟的行動結合了憑證竊取、合法管理工具濫用、自帶虛擬機 (BYOVD) 技術、針對備份系統的定向攻擊以及跨平台勒索軟體,旨在最大限度地擴大影響並規避檢測。防禦者應優先考慮憑證安全性、遠端存取介面的多因素身份驗證、備份系統的隔離、對合法遠端管理工具的異常使用進行嚴格監控,以及控制措施以檢測基於驅動程式的自帶虛擬機器 (BYOVD) 活動。這些措施可以降低憑證竊取或單點入侵導致全面部署勒索軟體的可能性。
