此篇文章深入剖析近年來在全球掀起威脅浪潮的勒索軟體「Qilin」(又被部分資安團隊稱為Agenda),從攻擊手法、產業目標到滲透路徑都進行了細緻、具脈絡的還原與解說。文章以最新威脅情報為基礎,從趨勢科技及思科Talos團隊的調查報告出發,逐步揭露這個駭客組織如何透過多層次的技術手段滲透企業網路,並以多樣化的工具組合達成加密與資料竊取的目的。
在整體趨勢上,文章指出Qilin自年初至今的活動呈現持續高漲,尤其在六月與八月時期達到攻擊高峰,每月都有數十家以上的企業受害。被駭的產業分布中又以製造業最為嚴重,占比約達四分之一,顯示此威脅對關鍵供應鏈衝擊不容小覷。文章透過這樣的數據對比,凸顯Qilin不只是單一攻擊事件,而是一場針對企業生態系統、有章法、有階段性的長期滲透行動。文章特別引人注意的部分,是對Qilin駭客在資料竊取階段的細節揭露。這些攻擊者被發現大量濫用開源工具Cyberduck進行資料外傳,並非單純大量竊取,而是在人工作業中使用記事本、畫圖軟體、小畫家甚至IE瀏覽器打開檔案,以人工方式判斷文件價值。這種看似「笨拙」卻極具目的性的作法,反而顯示出駭客的謹慎與策略性。
此外,Talos的調查讓文章具備極高的技術參考價值。文章詳細描繪了Qilin的加密模式分為兩種類型——一種使用PsExec進行跨主機散布;另一種針對網路共享資料夾加密,有時兩者並行使用以提高破壞力。同時,駭客藉由暗網取得外流的管理員帳密入侵VPN,進一步篡改AD群組原則後入侵組織內部網路。特別是在某起案例中,由於企業未啟用多因素驗證(MFA),導致攻擊者得以直接橫向移動並全面掌控內部系統。
文章進一步說明,Qilin會運用各種Windows系統指令與駭客常見工具,如nltest.exe、net.exe、mimikatz及NirSoft等程式蒐集使用者資訊與系統帳密,再利用SharpDecryptPwd等工具從應用程式與瀏覽器中挖掘憑證。竊取的資料在打包後透過Cyberduck上傳SMTP主機,使整個流程從入侵、蒐集、外傳到加密都有條不紊。在防護繞避方面,文章揭示Qilin如何經由混淆的PowerShell停用防惡意程式掃描介面(AMSI)、關閉簽章驗證要求,甚至啟用受限制管理員模式(Restricted Admin),讓駭客可以不輸入密碼即可透過RDP遠端控制主機。對於端點防護系統(EDR)的對抗,Qilin不僅會用Windows內建的系統服務控制器移除安全服務,也採用像dark-kill、HRSword這類開源工具直接終止防護程序。
文章的最後部分特別強調Qilin在完成竊取後,會全面執行加密行為,包括所有被AD控管的電腦、虛擬化環境(VMware ESXi),並刪除VSS備份檔案以阻絕還原機會,留下勒索訊息。同時,攻擊者還會利用fsutil命令操弄符號連結,藉此擴大破壞範圍,對系統完整性構成嚴重威脅。整體而言,此篇文章不只是單純報導勒索事件,而是一篇具分析價值的資安觀察報告。它讓讀者得以在閱讀前即掌握Qilin攻擊鏈的全貌——從滲透途徑、工具運用、系統操控到防護繞避的全階段細節。對於需要了解現行勒索威脅趨勢、評估防護弱點的企業與資安專業人士而言,這篇文章提供了極具實務參考性的視角,也提醒各組織應重新檢視自身VPN與遠端連線政策、多因素驗證設定,以及端點及備份的整合防護措施。
