勒索軟體組織
Qilin(又稱Agenda、Gold Feather、Water Galura)近期展現高度活躍的攻擊態勢。自今年 1 月以來,Qilin 已影響 62 個國家超過 700 個組織,其中製造業、科技業、金融服務業和醫療產業受到的衝擊最為嚴重。
趨勢科技發現
Qilin 在 Windows 系統上部署 Linux 版本勒索軟體,結合合法 IT 工具和自帶易受攻擊驅動程式(BYOVD)技術來繞過安全防護。攻擊者
特別針對 Veeam 備份基礎設施收集憑證,在部署勒索軟體前就破壞組織的災難復原能力。
關鍵技術包括:使用「eskle.sys」驅動程式進行 BYOVD 攻擊來停用安全解決方案,部署 SOCKS 代理 DLL 和 COROXY 後門混淆命令與控制(C2)流量,並使用 WinSCP 將 Linux 勒索軟體傳輸到 Windows 系統,最後透過 Splashtop Remote 直接執行。
而這種跨平台能力讓攻擊者用單一載荷同時影響 Windows 和 Linux 系統。更新樣本還加入 Nutanix AHV 偵測功能,將目標擴展到超融合基礎設施平台。最後階段,Qilin 勒索軟體會先清除事件日誌並刪除磁碟區陰影複製服務(VSS)的陰影複本,再加密檔案並投放勒索信。
延伸閱讀:Qilin 勒索軟體集團利用 Fortinet 漏洞發動攻擊 已影響全球 310 家機構
完整攻擊鏈剖析
思科 Talos 研究顯示,
Qilin 攻擊者透過暗網取得外洩的管理員憑證,利用 VPN 介面進行初始入侵,再透過遠端桌面協定(RDP)連線到網域控制器。部分攻擊則採用託管在 Cloudflare R2 的假 CAPTCHA 頁面,投放資訊竊取程式收集憑證。
進入系統後,攻擊者部署 Mimikatz、WebBrowserPassView.exe、BypassCredGuard.exe 和 SharpDecryptPwd 等工具,從 Chrome 資料庫、RDP、SSH 和 Citrix 等應用程式竊取憑證,並透過 Visual Basic 腳本外傳。他們甚至利用 mspaint.exe、notepad.exe 等合法程式檢查敏感資訊,用 Cyberduck 傳輸檔案以掩蓋惡意活動。
取得憑證後,攻擊者提升權限並橫向移動,安裝 AnyDesk、ScreenConnect 等遠端監控與管理(RMM)工具。
為規避偵測,他們停用反惡意軟體掃描介面(AMSI)、關閉 TLS 憑證驗證,使用 dark-kill 和 HRSword 終止安全軟體,最後部署 Cobalt Strike 和 SystemBC 維持遠端存取。
防護建議
面對 Qilin 的嚴重威脅,專家指出使用遠端存取平台、集中式備份解決方案或 Windows/Linux 混合基礎設施的環境都面臨風險。企業應採取以下防護措施:
- 限制遠端存取和 RMM 工具僅供授權主機使用,並監控可疑活動
- 強化備份基礎設施的安全性
- 建立 BYOVD 和跨平台威脅的偵測機制
- 確保端點偵測與回應(EDR)和資安維運中心(SOC)的作業手冊涵蓋 Windows 和 Linux 的遙測資料
- 部署抗網路釣魚的多因素驗證(MFA)
- 強化存取政策
- 監控特權帳戶或權杖的異常使用情況
本文轉載自 TheHackerNews、DarkReading。