باج‌افزار Qilin با ۷۲ افشای اطلاعات، در آوریل ۲۰۲۵ صدرنشین شد

گروه‌های هکری مرتبط با باج‌افزار Qilin، که با نام Agenda نیز شناخته می‌شود، در کمپینی که از نوامبر ۲۰۲۴ آغاز شد، از بدافزار SmokeLoader و یک لودر جدید مبتنی بر .NET به نام NETXLOADER برای اجرای حملات پیشرفته استفاده کرده‌اند.

باج‌افزار Qilin از جولای ۲۰۲۲ فعال بوده و نسخه بهبودیافته آن، Qilin.B، در سال گذشته توسط شرکت Halcyon شناسایی شد. داده‌های شرکت Group-IB نشان می‌دهد که افشای داده‌ها در سایت نشت اطلاعات Qilin از فوریه ۲۰۲۵ دو برابر شده و با ۷۲ قربانی اعلام‌شده در آوریل ۲۰۲۵، فعال‌ترین باج‌افزار نسبت به گروه‌هایی مانند Akira، Play و Lynx در این ماه بوده است. تعداد افشاها از ۲۳ شرکت در ماه (جولای ۲۰۲۴ تا ژانویه ۲۰۲۵) به ۴۸ مورد در فوریه، ۴۴ مورد در مارس و ۴۵ مورد در اوایل آوریل افزایش یافت.

فعالیت Qilin پس از خاموشی ناگهانی زیرساخت RansomHub در اول آوریل ۲۰۲۵ افزایش یافت. به گزارش Flashpoint، RansomHub دومین گروه فعال باج‌افزاری در سال ۲۰۲۴ بود که بین آوریل ۲۰۲۴ و آوریل ۲۰۲۵، ۳۸ قربانی در بخش مالی داشت. مهاجرت مهاجمان از RansomHub به Qilin باعث تقویت این گروه شد.

داده‌های Trend Micro از سه‌ماهه اول ۲۰۲۵ نشان می‌دهد که فعالیت Agenda در بخش‌های سلامت، فناوری، خدمات مالی، و مخابرات در کشورهای آمریکا، هلند، برزیل، هند و فیلیپین متمرکز بوده است.

زنجیره حمله

در حملات شناسایی‌شده، مهاجمان از حساب‌های معتبر یا فیشینگ برای دسترسی اولیه استفاده می‌کنند. سپس NETXLOADER اجرا شده و SmokeLoader را مستقر می‌کند. SmokeLoader محیط‌های مجازی و سندباکس را دور می‌زند.

در ادامه، فرآیندهای خاص را متوقف می‌کند و با سرور فرمان و کنترل (C2) ارتباط برقرار می‌کند تا NETXLOADER را بارگیری کند. در مرحله نهایی، NETXLOADER با تکنیک بارگذاری انعکاسیDLL ، باج‌افزار Agenda را اجرا می‌کند. این باج‌افزار قابلیت اختلال در شبکه‌های دامنه، دستگاه‌های متصل، سیستم‌های ذخیره‌سازی و VCenter ESXi را دارد.

ویژگی‌های NETXLOADER

شرکت Trend Micro گزارش داد که NETXLOADER یک لودر مخفی است که نقش کلیدی در حملات سایبری ایفا می‌کند. این لودر پیلودهای مخرب اضافی، از جمله باج‌افزار Agenda و بدافزار SmokeLoader، را مستقر می‌کند.

با محافظت .NET Reactor 6، تحلیل این لودر بسیار دشوار است؛ زیرا از تکنیک‌هایی مانند اتصال در زمان اجرا (JIT hooking)، نام‌گذاری بی‌معنی متدها و ابهام سازی در جریان کنترلی (Control Flow Obfuscation) برای فرار از شناسایی استفاده می‌کند. این لودر پیلودها را از سرورهای خارجی مانند bloglake7[.]cfd دریافت می‌کند، که با نام‌های جعلی و دامنه‌های کم‌اعتبار (مانند .cfd و .xyz) برای پنهان‌سازی طراحی شده‌اند.

استفاده مهاجمان از NETXLOADER یک جهش قابل‌توجه در نحوه تحویل بدافزار است. این لودر، پیلود واقعی را پنهان می‌کند و برای فهمیدن ماهیت آن باید کد را اجرا و در حافظه تحلیل کرد. حتی تحلیل بر پایه رشته‌های متنی نیز کمکی نمی‌کند، چرا که ابهام‌سازی، سرنخ‌ها را مخفی می‌سازد.

منابع: