گروه باجافزاری Qilin (شناختهشده با نامهای Agenda، Gold Feather و Water Galura) از ابتدای ۲۰۲۵ تا کنون—بهترتیب ماهها جز ژانویه—هر ماه بیش از ۴۰ قربانی اعلام کرده و در ژوئن رکورد ۱۰۰ انتشار را در سایت دادههای منتشرشدهی خود ثبت کرده است. این گروه RaaS (Ransomware-as-a-Service) از حدود جولای ۲۰۲۲ فعال است و در ماههای اخیر یکی از پرتحرکترین بازیگرانِ حوزهٔ باجافزار بوده است.
طبق تحلیلهای Cisco Talos، کشورهای ایالات متحده، کانادا، بریتانیا، فرانسه و آلمان از جمله هدفهای اصلی Qilin بودهاند. صنایع هدفگرفتهشده بیشتر شامل: بخش تولیدی (۲۳٪)، خدمات حرفهای و علمی (۱۸٪) و تجارت عمدهفروشی (۱۰٪) هستند.
روند حمله — دسترسی اولیه تا رمزگذاری نهایی
تحلیل Talos نشان میدهد که حملات Qilin اغلب این مراحل را دنبال میکنند:
دسترسی اولیه با حسابهای اداری لو رفته
مهاجمان از credentialهای اداریِ نشتکرده (معمولاً از دارکوب) برای ورود از طریق VPN استفاده کرده و سپس با RDP به کنترلر دامنه و نقاط انتهایی متصل میشوند.جمعآوری و استقرار ابزارهای ربایندهٔ اعتبار
ابزارهایی مثلMimikatz،WebBrowserPassView.exe،BypassCredGuard.exeوSharpDecryptPwdاجرا میشوند تا رمزهای عبورِ ذخیرهشده و اطلاعات لاگین استخراج و به SMTP خارجی (از طریق اسکریپت VB) ارسال شوند.کنکاو و حرکت جانبی
مهاجمان از برنامههای معمولی (مثلmspaint.exe،notepad.exeوiexplore.exe) برای بررسی فایلها و از ابزار مشروعCyberduckبرای انتقال فایلهای حساس به سرورهای راه دور استفاده میکنند—تا عملیات مخرب را پنهان نگه دارند.بالا بردن امتیازات و نصب RMM
با حسابهای سرقتشده، مهاجمان امتیازات را افزایش داده و ابزارهای مدیریت راه دور (RMM) مثل AnyDesk، Chrome Remote Desktop، ScreenConnect، Splashtop و دیگران را نصب میکنند تا کنترل و حرکت جانبی را میسر سازند.خنثیسازی دفاعها و پایداری دسترسی
با اجرای دستورات PowerShell، AMSI را خاموش، اعتبارسنجی TLS را غیرفعال و حالت Restricted Admin را فعال میکنند. از ابزارهایی مثلdark-killوHRSwordبرای متوقفکردن نرمافزارهای امنیتی استفاده میشود؛ همچنین Cobalt Strike و SystemBC برای دسترسی ماندگار مستقر میگردند.رمزگذاری نهایی و پاکسازی آثار
پیش از رمزگذاری، لاگهای Windows پاک و snapshotهای Volume Shadow Copy Service (VSS) حذف میشوند؛ سپس باجافزار Qilin فایلها را رمزگذاری و در هر پوشه پیام باج (ransom note) قرار میدهد.
نمونهٔ جدید: لینوکس روی ویندوز + BYOVD
در نمونهای پیشرفته، محققان یک حملهٔ Qilin را یافتند که:
بایتکدی لینوکسی برای باجافزار آماده کرده بود و با مکانیسمهایی آن را روی سیستمهای ویندوزی اجرا کرد — یعنی یک باینری لینوکسی که روی ویندوز اجرا و باعث آلودهشدن هر دو پلتفرم میشد.
بهعلاوه از تکنیک BYOVD (Bring Your Own Vulnerable Driver) استفاده شد: مهاجمان یک درایور آسیبپذیر (
eskle.sys) را بارگذاری کردند تا فرآیندهای امنیتی را غیرفعال کنند، پردازشها را خاتمه دهند و در نتیجه از تشخیص طفره روند.ابزارهای مشروع IT (مثل Atera برای نصب AnyDesk، ScreenConnect و Splashtop) برای اجرای فرمانها و نهاییسازی رمزگذاری سوءاستفاده شدند.
هدفگیریِ زیرساختهای پشتیبانگیری (بهویژه Veeam) بهصورت تخصصی انجام شد: مهاجمان با ابزارهای استخراج اعتبار، credentialهای backup را برداشتند تا امکان بازیابی را قطع کنند و سازمان را بهخاطر دسترسی به فایلهای بکاپ تضعیف کنند.
برای انتقال باینری لینوکسی به میزبان ویندوز از ابزارهای مشروعی مانند
WinSCPاستفاده شد و سپس با اجرایSRManager.exe(کامپوننت مدیریتی Splashtop) فایل لینوکسی بهصورت محلی اجرا شد.
این روش ترکیبی باعث میشود که یک payload واحد قابلیت تأثیرگذاری روی هر دو محیط Windows و Linux را داشته باشد — و بدین ترتیب دامنهٔ آسیبپذیری بسیار وسیعتر میشود. بعضی نمونهها حتی قابلیت شناسایی Nutanix AHV (محیط مجازیسازهای hyperconverged) را دارند که نشاندهندهٔ تطبیق تهدید با زیرساختهای مدرن است.
توصیههای کلیدی (عملی و فوری)
برای کاهش ریسک در برابر حملات Qilin و حملات مشابه، تیمهای امنیتی باید اقدامات زیر را فوراً انجام دهند:
بررسی و تغییر credentialهای لو رفته
همه حسابهای اداری، سرویسها و بکاپها را بازبینی، رمزها را بازنشانی و احراز هویت چندمرحلهای (MFA) را اجباری کنید.حفاظت از زیرساخت پشتیبانگیری
دسترسی به Veeam و سایر راهکارهای بکاپ را محدود کنید؛ تراکنشهای سرویس بکاپ بایستی داخل شبکهٔ مدیریتشده و با کنترل دسترسی محکم انجام شود.محدودسازی نصب RMM و نظارت روی آنها
نصب RMMها را به لیست سفید محدود و دسترسی آنها را حسابرسی کنید؛ پروسهٔ onboarding هر ابزار ریموت باید بهدقت ثبت و بررسی شود.ردگیری BYOVD و کنترل درایورها
مکانیزمِ شناسایی درایورهای نامطمئن و جلوگیری از بارگذاری درایورهای unsigned یا شناختهنشده را فعال کنید.پویشِ دائمی برای Indicators of Compromise (IOC)
لاگهای شبکه و endpoint را برای اجرای ابزارهایی مانند Mimikatz، SystemBC، Cobalt Strike و رفتارهایی مثل حذف VSS نظارت کنید.ایزولهٔ سریع و پاسخ حادثه
فرایند ایزولهٔ خودکار را برای نقاطی که رفتار مشکوک نشان میدهند راهاندازی کنید تا حمله قبل از رمزگذاریِ گسترده متوقف شود.آموزش و هشدار به کارمندان
حملات فیشینگ، ClickFix و صفحات جعلی CAPTCHA را آموزش دهید؛ بهخصوص مراقب لینکها و دستوراتی باشید که از طریق ایمیل، پیام یا Cloudflare R2 توزیع میشوند.
جمعبندی
حملات اخیر Qilin نشان میدهد که بازیگران تهدید بهشدت در حال ترکیب تاکتیکها—ابزارهای مشروع، BYOVD، payloadهای cross-platform و هدفگیری زیرساختهای بکاپ—برای افزایش اثرگذاری و پنهانکاری هستند. دفاعِ مؤثر نیازمند دیدِ جامعی است: از مدیریت credential و محافظت از بکاپ تا کنترل دقیق بر نصب نرمافزارهای مدیریتی و پایش رفتارهای غیرعادی در شبکه و endpoints.
