Qilinランサムウェアグループ(Agendaとしても知られる)は、検知を回避するためにWindowsホスト上でLinuxペイロードを使用したハイブリッド攻撃を開発しました。正当なリモート管理ツールを悪用し、脆弱なドライバを活用することで、攻撃者は防御を無効化し、バックアップを標的にします。このクロスプラットフォームの戦術は、ランサムウェアの進化する洗練度を強調しています。
2022年以来活動しているQilinランサムウェア作戦は、2025年に最も多産なランサムウェア・アズ・ア・サービスグループの一つとして浮上し、Trend Microの分析によると、月間40件以上の被害を主張し、6月には100件のピークを記録しました。セキュリティ研究者によって詳細に説明された最近のキャンペーンでは、Qilinはファイル転送のためのWinSCPや実行のためのSplashtop Remoteなどの信頼できるツールを使用して、Windowsシステム上でLinuxランサムウェアバイナリを展開し、伝統的なWindows中心のエンドポイント検知および応答(EDR)システムを回避しました。
攻撃者は、Cloudflare R2でホストされた偽のGoogle CAPTCHAページを通じて初期アクセスを獲得し、難読化されたJavaScriptを配信して、45.221.64.245/mot/および104.164.55.7/231/means.dのコマンドアンドコントロールサーバーから認証情報を収穫する情報窃取ツールに導きました。これらの盗まれたアカウントは横方向移動を可能にし、ScreenConnectコマンド(例:'nltest /domain_trusts'および'net group "domain admins" /domain')を使用して偵察が行われました。
永続性を維持するために、QilinはATERA RMMとScreenConnect経由でAnyDeskをインストールし、活動を管理タスクとして偽装しました。防御回避はbring-your-own-vulnerable-driver(BYOVD)技術に依存し、中国のゲームベンダーから再利用されたeskle.sysなどの署名付きドライバ、およびrwdrv.sysやhlpdrv.sysを、msimg32.dllなどのサイドロードDLL経由でFoxitPDFReader.exeなどの正当なアプリによって実行してロードしました。これらのドライバはVMチェックを実行し、セキュリティプロセスを終了させ、EDRツールを終了させました。
重要な焦点は、Base64エンコードされたPowerShellスクリプトを使用してVeeamバックアップインフラから認証情報を盗むことであり、Credentials、BackupRepositories、WinServersなどのSQLテーブルからユーザー名とパスワードを抽出しました。これにより、ドメインコントローラ、Exchangeサーバー、SQLデータベースへのアクセスが可能になりました。横方向移動は、SSH接続のためのtest.exeや1.exeなどの名前変更されたPuTTYバイナリ経由でLinuxホストに拡張されました。
パスワードを必要とするLinux暗号化ツールは、プロセスをホワイトリスト化し、ファイル拡張子をブロックし、コアディレクトリを除外し、更新でNutanix AHV検知を追加しました。Veeam、VMware、Adobe、USOSharedのためのフォルダに隠された分散型COROXY SOCKSプロキシは、耐久性のあるコマンドアンドコントロールを確保しました。
「この攻撃は伝統的なWindows中心のセキュリティコントロールに挑戦します」とTrend Microは報告しました。「Windowsシステム上でLinuxランサムウェアを展開することは、リモート管理チャネルを通じてLinuxバイナリの実行を検知または防止するよう構成されていないエンドポイント検知システムを回避するために脅威アクターが適応していることを示しています。」この戦術はCisco Talosによっても指摘されており、低ノイズの運用に対抗するためのRMMツールとハイブリッド環境への可視性の必要性を強調しています。
