標籤: Qilin

2024 年 5 月 18 日，竣盟科技在勒索軟體麒麟(Qilin)的揭秘網站發現台灣某鞋子代工大廠的頁面，麒麟聲稱盜取了2.12TB的資料約一百五十萬份檔案。作為入侵的證據張貼了兩張截圖，從其中一張截圖顯示包含多款Adidas形號的價格、配方單價、開發文件、化工稽核資料等等。

麒麟也稱為「Agenda」，於 2022 年 8 月首次被發現，因使用 Rust 和 Go 編寫的勒索軟體攻擊組織而聞名，是一種高度複雜且具威脅性的網路威脅，一直活躍且處於發展之中，因使用 Rust 和 Go 編寫的勒索軟體攻擊組織而聞名。麒麟可以透過各種方法傳播，利用不同的載體來感染系統和網路。雖然麒麟的具體分發策略可能會演變，但勒索軟體常用的方法包括：

1. 網路釣魚電子郵件：傳播勒索軟體最常見的方法之一是透過網路釣魚電子郵件。這些電子郵件通常包含惡意附件或鏈接，當毫無戒心的用戶打開或單擊時，可以啟動勒索軟體下載到系統上。
2. 利用漏洞：勒索軟體可以透過利用軟體或作業系統中的漏洞進行傳播。攻擊者不斷掃描具有尚未修補或更新的已知漏洞的系統，並利用這些漏洞獲得未經授權的存取並部署勒索軟體。
3. 偷渡式下載：當使用者造訪受感染或惡意網站時，就會發生偷渡式下載，導致勒索軟體在使用者不知情的情況下自動下載到其裝置上。
4. 勒索軟體即服務 (RaaS)：有些組織在 RaaS 模式下運作，將勒索軟體基礎設施出租給其他網路犯罪分子，然後由他們實施攻擊。隨著各種攻擊者利用勒索軟體，這種方法可能會導致廣泛傳播。
5. 社會工程策略：除了網路釣魚之外，其他形式的社會工程也可用於誘騙個人安裝惡意軟體。這可能涉及透過虛假軟體更新、欺詐性技術支援電話或其他欺騙手段來操縱用戶。
6. 網路傳播：一旦網路中的單一電腦受到感染，某些勒索軟體變體就可以在整個網路中自我傳播。他們利用網路協定或使用橫向移動技術傳播到其他連接的系統。
7. 惡意廣告：這涉及將惡意廣告注入合法廣告網路。點擊這些廣告的使用者可能會被重新導向到託管勒索軟體的惡意網站。
8. 使用遠端桌面協定 (RDP)：攻擊者也可能使用暴力攻擊或竊取的憑證，透過遠端桌面協定 (RDP)（一種遠端管理系統的常用方法）來存取系統。
9. 供應鏈攻擊：損害供應鏈內的軟體供應商或服務可能會導致勒索軟體分發給受感染軟體或服務的所有使用者。
10. 可移動媒體：雖然不太常見，但勒索軟體可以透過受感染的可移動媒體（例如 USB 隨身碟）傳播。

在加密過程上，麒麟的技術已經達到了高度成熟。他們對先進加密技術的掌握對於他們成功有效地使受害者無法存取文件和資料至關重要。麒麟加密策略的核心是高級加密標準（AES），金鑰長度為256位，通常表示為AES-256。這種加密演算法因其強大的安全特性而聞名並被廣泛採用。 AES-256 因其絕對的複雜性和大量可能的加密金鑰而以其抵抗加密攻擊的能力而聞名。實際上，這意味著使用 AES-256 加密的檔案在沒有相應解密金鑰的情況下無法解密。至關重要的是，麒麟確保只有攻擊者擁有解鎖加密檔案和資料所需的唯一解密金鑰。該密鑰被安全地保存在他們的控制之下，使其成為難以捉摸且受到嚴密保護的秘密。如果沒有這個解密金鑰，解密加密檔案將成為一項巨大的挑戰。麒麟透過結合 RSA-2048 加密，進一步增強了解密過程的安全性。 RSA 以其發明者 Rivest、Shamir 和 Adleman 的名字命名，是一種廣泛使用的非對稱加密演算法。在 麒麟勒索軟體中，RSA-2048 用於加密解密金鑰本身。這為解密和恢復過程增加了額外的複雜性。實際上，RSA-2048 加密意味著加密檔案的解密金鑰不僅由攻擊者安全地持有，而且還受到計算上無法破解的加密機制的保護。 AES-256 和 RSA-2048 加密的組合為尋求重新存取其加密檔案和資料的人設置了巨大的障礙。

值得一提的是，麒麟似乎專注於滲透那些會造成巨大損失的知名目標，這也意味著麒麟擁有精心設計的攻擊系統和工具， 但有趣的是，據了解，麒麟並不像 Lockbit 等更具攻擊性的勒索軟體攻擊者那樣要求大量的的贖金。相反，麒麟的價格在 50,000 美元至 800,000 美元之間。。

過去曾遭受「麒麟」勒索軟體攻擊的著名受害者包括汽車零件巨頭延鋒和澳洲法院系統。此外，2022年10月，麒麟勒索軟體曾入侵某台灣製藥大廠:

麒麟的部分入侵指標(Indicator of compromise -IOCs):

73b1fffd35d3a72775e0ac4c836e70efefa0930551a2f813843bdfb32df4579a    

e4cbee73bb41a3c7efc9b86a58495c5703f08d4b36df849c5bebc046d4681b70    

afe7b70b5d92a38fb222ec93c51b907b823a64daf56ef106523bc7acc1442e38    

dd50d1f39c851a3c1fce8abdf4ed84d7dca2b7bc19c1bc3c483c7fc3b8e9ab79

中國汽車零部件供應商延鋒(Yan Feng)向通用汽車、大眾集團、福特、Stellantis（Fiat、克萊斯勒、吉普、道奇）、寶馬、戴姆勒、豐田、本田、日產和上汽集團銷售內裝零件，該公司是這些汽車製造商供應鏈的重要組成部分，在全球 240 個地點擁有超過 57,000 名員工。根據資安網站Cybernews麒麟(Qilin)勒索軟體組織聲稱對延鋒的網路攻擊負責。對這家中國供應商的攻擊對北美汽車製造供應鏈產生了連鎖反應，導致多家美國工廠中斷，其中包括全球汽車製造商 Stellantis 營運的工廠。

本月早些時候，有 報導 稱對延鋒網路攻擊的直接影響到Stellantis，迫使該汽車公司停止其北美工廠的生產。Cybernews 聯繫了延鋒，該公司沒有回應，也沒有就攻擊發表公開聲明。然而延鋒網站癱瘓了一個多星期，直到昨天它的主要網站才重新上線，但沒有任何有關斷網的聲明。另外吉普車主也報告說，客戶服務熱線癱瘓了好幾天。

Stellantis （原菲亞特克萊斯勒，2023 年與法國 PSA 集團合併） 在美國擁有 22 家製造工廠，加拿大有 6 家，墨西哥有 7 家。

11 月 15 日，根據Stellantis的發言人，「由於外部供應商的問題，Stellantis 的一些北美組裝工廠的生產受到干擾。我們正在監控情況並與供應商合作，以減輕對我們營運的進一步影響。」

據威脅研究專家Kevin Beaumont指出，這次攻擊是駭客利用了名為Citrix Bleed（CVE-2023-4966，CVSS風險評分為9.4）的零時差漏洞。

根據美國網路安全和基礎設施安全局(CISA) ，駭客利用Citrix Bleed漏洞入侵網路環境，可以繞過密碼和多因素身份驗證(MFA) 請求，從而成功劫持Citrix NetScaler Web 應用程式交付控制(ADC) 和網關設備上的合法用戶會話， 一旦進入目標網路，駭客就會利用各種遠端和網路監控工具來獲得進一步的存取權並找到將使用勒索軟體加密的最終伺服器。

麒麟（又名 Agenda）於 11 月 27 日(星期一)在其揭秘網站上發布了延鋒頁面，並附上了23 張盜竊數據的截圖。麒麟稱，截圖證實我們擁有大量敏感資料，並將在未來幾天內發布這些資料。

另外Group-IB在上週發布其在3月秘密調查的報告，揭露了麒麟勒索軟體集團的內部運作。該組織於 2022 年首次被發現，經常使用網路釣魚電子郵件來瞄準受害者。Group-IB 研究人員被認為與俄羅斯有聯繫，他們發現了該集團的會員是如何佈局的。

「對於總額為 300 萬美元或以下的勒索金額，會員可以獲得 80% 付款項。對於超過 300 萬美元，他們則可以獲得 85%，」Group-IB 表示。

根據威脅情報公司 Cyble 發布的 2023 年第二季勒索軟體報告，2023 年上半年針對全球製造業的勒索軟體攻擊激增了 130%。

此次之前，2022年10月，麒麟勒索軟體曾入侵某台灣製藥大廠: