Qilin 勒索軟體集團近期活動激增,已引起資安業界高度關注。這個以勒索軟體即服務(RaaS)模式運作的犯罪組織,同時使用 Phantom Mantis 和 Agenda 等別名,目前正積極利用 Fortinet 兩項關鍵漏洞發動攻擊。該集團能夠透過這些安全弱點獲得未經授權的網路存取權限,並在目標網路中執行惡意程式碼,有時甚至能避開偵測。
攻擊策略轉向企業基礎設施
Qilin 透過利用 Fortinet 漏洞強化攻擊手法,顯示其戰略已轉向針對全球部署的企業安全基礎架構。目前已有來自醫療保健、金融、政府和關鍵基礎設施等各個領域的組織成為這場日益擴大的全球威脅活動目標。
研究人員指出,該集團能夠如此迅速地將新發現漏洞武器化,不僅展現其技術成熟度,也凸顯採用主動式、以漏洞為重點的安全態勢的重要性。
這波攻擊反映出勒索軟體集團利用零日漏洞或新修補漏洞來繞過邊界防護並獲得持續存取權限的趨勢正在成長。
受害組織遍及全球多個產業
自 2022 年 8 月以 RaaS 供應商身分首次出現以來,Qilin 已快速發展,向附屬行為者提供複雜的勒索軟體工具包,並擴展至多個不同領域。全球已有超過 310 家組織與 Qilin 入侵事件相關,涵蓋媒體、醫療保健、製造業和政府服務等多個產業。
在最新一波 Qilin 勒索軟體活動中,威脅行為者正積極利用 Fortinet 網路安全產品中的兩項關鍵漏洞:
CVE-2024-55591 和
CVE-2024-21762。這些漏洞雖已被公開揭露並發布修補程式,但仍有數千台 Fortinet 設備保持易受攻擊狀態,對大量組織構成重大風險。
CVE-2024-55591 早在 2024 年 11 月就被多個威脅行為者作為零日漏洞利用,包括與 LockBit 網路犯罪集團相關的 Mora_001 勒索軟體操作者,
用於部署 SuperBlack 勒索軟體變種。
CVE-2024-21762 則於 2025 年 2 月初獲得 Fortinet 修補。美國網路安全暨基礎設施安全局(CISA)迅速將此漏洞加入已知被利用漏洞(KEV)目錄,並指示聯邦機構在 2 月底前保護所有受影響的 FortiOS 和 FortiProxy 設備。然而儘管有這些警告,漏洞問題仍廣泛存在。
到 3 月中旬,Shadowserver Foundation 報告顯示全球仍有近 15 萬台設備未修補且容易受到攻擊,突顯企業在修補程式採用和風險緩解方面的關鍵缺口。
威脅情報公司 PRODAFT 指出,Qilin 的營運策略出現明顯轉變,開始對未修補的 FortiGate 防火牆進行部分自動化攻擊。雖然該活動受到西班牙語地區影響,但所採用的戰術仍主要是機會主義的,無論設備位置如何都會利用易受攻擊的設備。
建立多層次防護策略
安全團隊應採取主動方法,立即套用安全修補程式並嚴格監控 FortiGate 和 FortiProxy 設備。建議措施包括部署入侵偵測和防護系統、分析即時日誌以發現可疑行為,以及對網路內的高價值資產進行分段以防止橫向移動。
面對不斷升級的威脅環境以及 Qilin 勒索軟體集團對核心企業基礎架構的精準利用,組織需要超越被動式網路安全實務,發展前瞻性安全態勢。企業還必須實施深度防護策略,包括端點保護、網路分段、威脅情報整合和定期安全實務稽核,以增強對日益自動化和針對性勒索軟體攻擊的韌性。
隨著勒索軟體攻擊日益複雜和規模化,特別是像 Qilin 這樣利用安全技術本身的攻擊,保護數位邊界應成為獲得充足資源、可衡量問責制和高階主管承諾支持的執行層級優先事項。組織必須建立網路安全準備文化,透過持續的員工培訓、桌面演練和事件回應情境模擬,確保在預防措施失效時仍具備韌性。
本文轉載自cysecurity。