【資安分析】麒麟(Qilin)勒索軟體再度來襲:一週內兩起攻擊台灣,手法與過往案例一次看懂

Posted on by blogadmin

在勒索軟體攻擊愈趨產業化、模組化的今天,麒麟(Qilin)這個名字已不再陌生。這支自2022年底開始活躍的勒索軟體集團,近期又在台灣與海外同時出手,顯示其攻擊手法日益成熟,且明顯將台灣地區企業列入其重點關注清單。

最新事件回顧:跨國酒店與台灣汽材大廠接連受害

在2025年5月的最後一週內,麒麟連續公布兩起成功入侵案例:

  • 2025/5/29:麒麟於其暗網洩密網站公布,一家台灣跨國大型企業集團旗下的加拿大飯店遭其入侵,並同步列出16張截圖佐證。截圖中不僅有該飯店的內部系統畫面、合約文件,甚至還包括位於台灣嘉義的關係企業帳務系統帳密、往來銀行資訊、內部資料等,顯示駭客對整體集團內部系統具有高度橫向滲透能力。
  • 2025/5/30:麒麟再度公布對總部位於台北市的某汽車零件製造大廠之攻擊成果。該公司於雲林、台中與中國上海設有工廠,為全球車用供應鏈之一環,麒麟也提供17張截圖作為入侵證明。

這類攻擊模式顯示麒麟不僅針對IT系統發動攻擊,更擅長深入營運層、針對資料價值進行挑選與勒索,屬於極具策略性的行動勒索團體(Strategic Ransomware Actor

麒麟勒索軟體背景剖析:從初期出現到成熟組織化

麒麟(Qilin)勒索軟體於2022年底首次在地下論壇現蹤,屬於典型的勒索即服務(RaaS, Ransomware-as-a-Service 模式,主程式由核心團隊維護與提供,並透過附屬攻擊者(affiliates)實際執行入侵與部署。Qilin 的 RaaS 結構類似於Conti、BlackCat等前輩,但其特色在於:

  • 支援 Windows 與 Linux 雙平台版本:能對伺服器、虛擬化環境(如 ESXi)進行橫向加密。
  • 可自訂勒索訊息與加密延遲時間:提供駭客針對不同行業調整策略。
  • 整合加密與資料竊取雙重勒索流程,並導入 Telegram 機器人協助洩密與討論談判。

麒麟常用的攻擊手法與流程分析

從過去公開案例與我們團隊追蹤的威脅情報顯示,麒麟主要透過以下幾種典型流程實施攻擊:

初始入侵

  • 利用 釣魚郵件或社交工程 投遞內含遠端控制木馬(如 AgentTesla、Remcos)或合法工具(如 AnyDesk、TeamViewer)進行初期部署。
  • 掃描企業網段內的 公開遠端桌面(RDP)與 VPN 裝置,進行弱密碼爆破,或利用未修補的漏洞(如 FortiOS、Citrix、Zimbra、Exchange CVE)直接入侵。

權限提升與橫向移動

  • 利用 Mimikatz、Cobalt Strike Beacon、SharpHound 等工具收集憑證與橫向移動路徑。
  • 頻繁使用 PowerShell、PsExec 及 WMI 進行無檔攻擊(fileless attack),降低被偵測風險。

機密資料竊取與外傳

  • 使用 Rclone、MegaCMD 或 curl 將壓縮後的敏感資料外傳至境外伺服器。
  • 優先外傳包含財務報表、人資資料、契約、客戶名單等高價值資料作為勒索籌碼。

資料加密與談判

  • 執行全域加密後,留下自訂勒索訊息,並透過暗網、Telegram 與受害者直接談判,要求以加密貨幣(如Monero)支付贖金。

過往知名受害者(部分)

麒麟的攻擊目標遍及全球,以下為歷來曾被列入其洩密名單的機構(根據公開資料):

  • 澳洲醫療集團 Regis Healthcare:患者資料與照護紀錄外洩。
  • 南韓SK集團
  • 日本一家知名的癌症治療中心
  • 帛琉衛生部
  • 日本某家化學材料製造商:被勒索數百萬美元
  • 美國報業集團Lee Enterprises
  • 英國病理學暨診斷服務供應商Synnovis

這些案例顯示麒麟對於跨國企業、醫療產業、製造業與高資料敏感度機構特別感興趣,並擅長針對其資訊分散、IT治理落差進行滲透與勒索。

資安建議:企業應如何應對麒麟類型的勒索團體?

  1. 強化初始入侵防線:包含郵件過濾、端點防護(EDR/XDR)、封鎖可疑IP等,降低社交工程與惡意程式入侵風險。
  2. 定期進行弱密碼檢測與 VPN/RDP 存取控管:減少因弱認證或遠端暴露導致的入侵途徑。
  3. 全面導入多因素驗證(MFA):無論內部或外部帳號皆須強制執行,防止帳密洩漏即造成橫向移動。
  4. 落實帳號權限最小化原則與 Active Directory 架構健檢:避免駭客一旦取得一組帳號就能快速橫向掃掠整個網段。
  5. 建立完整異地備份機制:定期演練資料還原流程,確保勒索攻擊發生時能迅速回復,降低營運衝擊。
  6. 導入誘捕技術(Deception Technology):部署誘餌帳號、假資產與蜜罐系統,主動誤導攻擊者行動、延緩攻擊進程,並提升早期偵測與回應能力。
  7. 定期關注勒索團體動態與 IOC 指標:可參考如 CISA、CERT 或威脅情資分享平台,掌握最新攻擊趨勢並即時調整防禦策略。

麒麟再次提醒我們,現代勒索攻擊已非僅為加密而加密,更是一場針對企業營運資訊完整性與聲譽的精準打擊。企業若仍以傳統思維看待資安,終將難逃其害。建議企業應主動導入威脅情報與攻防模擬紅隊演練,將資安視為營運風險的一環,才能在黑暗網絡的攻擊浪潮中站穩腳步。

麒麟勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

6914b1f5b6843341fafdfaa9d57818b9
d1c43f8db230bdf18c61d672440eba12
f28978b22c08f9cf0b9358af3af09b2ed7e737bc
bba5cfbcd7ea5635e2aaa93019febec6637cfae77e520808de73e6b0b6b9def4