พบกลุ่ม Qilin Ransomware ได้ใช้ Linux encryptors ใน Windows โดยใช้ Windows Subsystem for Linux (WSL) เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัยแบบเดิม
Qilin Ransomware เปิดตัวครั้งแรกในชื่อ "Agenda" ในเดือนสิงหาคม 2022 และเปลี่ยนชื่อเป็น Qilin ในเดือนกันยายน 2022 และยังคงดำเนินการภายใต้ชื่อเดิมจนถึงปัจจุบัน
Qilin กลายเป็นหนึ่งในกลุ่ม Ransomware ที่มีการเคลื่อนไหวมากที่สุด โดยงานวิจัยใหม่จาก Trend Micro และ Cisco Talos ระบุว่ากลุ่มอาชญากรรมไซเบอร์นี้ได้โจมตีเหยื่อไปแล้วมากกว่า 700 รายใน 62 ประเทศในปี 2025
ทั้ง Trend Micro และ Cisco Talos ระบุว่า Qilin Ransomware กลายเป็นหนึ่งกลุ่ม Ransomware ที่ระบาดหนักที่สุดทั่วโลก โดยมีเหยื่อรายใหม่มากกว่า 40 รายต่อเดือนในช่วงครึ่งหลังของปี 2025
บริษัทรักษาความปลอดภัยไซเบอร์ทั้งสองราย ได้รายงานว่ากลุ่ม Hacker ในเครือ Qilin Ransomware ได้ใช้ legitimate programs และ remote management tools ผสมผสานกันเพื่อโจมตีเครือข่าย และขโมยข้อมูล credentials ซึ่งรวมถึงแอปพลิเคชันอย่าง AnyDesk, ScreenConnect และ Splashtop สำหรับการเข้าถึงจากระยะไกล และ Cyberduck และ WinRAR สำหรับการขโมยข้อมูล
กลุ่ม Hacker ยังใช้ Windows utilities ทั่วไป เช่น Microsoft Paint (mspaint.exe) และ Notepad (notepad.exe) เพื่อตรวจสอบเอกสารเพื่อหาข้อมูลสำคัญก่อนที่จะขโมยข้อมูลเหล่านั้น
การ Disable การทำงานของ security tools โดยใช้ vulnerable drivers
บริษัทรักษาความปลอดภัยไซเบอร์ทั้งสองราย พบว่ากลุ่ม Hacker ในเครือ Qilin Ransomware ทำการโจมตีแบบ Bring Your Own Vulnerable Driver (BYOVD) เพื่อ Disable การทำงานของ security tools ก่อนเปิดใช้งานโปรแกรมเข้ารหัส
กลุ่ม Hacker ได้ติดตั้งไดรเวอร์ที่มีช่องโหว่ เช่น eskle.sys เพื่อ terminate กระบวนการป้องกันของ EDR และใช้ DLL sideloading เพื่อ drop kernel drivers เพิ่มเติม (rwdrv.sys และ hlpdrv.sys) ที่ให้สิทธิ์ระดับ kernel-level privileges
Cisco Talos สังเกตเห็น Hacker ได้ใช้คำสั่งที่รัน 'uninstall.exe' ของ EDR โดยตรง หรือพยายามหยุดการทำงานโดยใช้ sc command หลายครั้ง รวมถึงใช้เครื่องมือ เช่น "dark-kill" และ "HRSword" เพื่อปิดการทำงานของ security software และลบร่องรอยของการดำเนินการที่เป็นอันตราย
การใช้ Linux encryptor ผ่าน WSL
ในเดือนธันวาคม 2023 BleepingComputer ได้รายงานเกี่ยวกับ Qilin Linux encryptor ตัวใหม่ ซึ่งมุ่งเป้าในการเข้ารหัสเครื่อง VMware ESXi virtual machines และ servers เป็นหลัก
command-line arguments ของโปรแกรม encryptor นี้มีตัวเลือกสำหรับเปิดใช้งาน debug mode, ทดสอบใช้โดยไม่ต้องเข้ารหัสไฟล์ใด ๆ หรือ customize วิธีการเข้ารหัสเครื่อง virtual machines และ snapshots
นักวิจัยจาก Trend Micro รายงานว่ากลุ่ม Hacker ใช้ WinSCP เพื่อถ่ายโอน Linux ELF encryptor ไปยังอุปกรณ์ที่ถูกโจมตี จากนั้นจึงเปิดใช้งานผ่าน Splashtop remote management software (SRManager.exe) โดยตรงภายใน Windows
แม้ว่าในตอนแรก Trend Micro จะรายงานว่าโปรแกรม encryptor นี้สามารถใช้งานได้ข้ามแพลตฟอร์ม (cross-platform) แต่ Linux encryptors ของ Qilin เป็น ELF executables ซึ่งหมายความว่าโปรแกรมเหล่านี้ไม่สามารถทำงานบน Windows แบบเนทีฟได้ และจำเป็นต้องใช้สภาพแวดล้อมแบบ runtime เช่น Windows Subsystem for Linux (WSL) ในการ execute โปรแกรมเพื่อเข้ารหัส
Windows Subsystem for Linux (WSL) เป็นฟีเจอร์ของ Windows ที่ช่วยให้ติดตั้ง และรัน Linux distributions ได้โดยตรงภายใน Windows เมื่อติดตั้งแล้ว คุณสามารถเปิดใช้คำสั่ง shell เป็นค่าเริ่มต้น หรือใช้คำสั่ง wsl.exe -e เพื่อรันโปรแกรม Linux ภายใน Windows command prompt
Trend Micro ให้ข้อมูลกับ BleepingComputer ว่า เมื่อ Hacker สามารถเข้าถึงอุปกรณ์ได้ พวกเขาจะเปิดใช้งาน หรือติดตั้ง Windows Subsystem สำหรับ Linux แล้วใช้ระบบนั้นเพื่อเรียกใช้ encryptor จึงเป็นการหลีกเลี่ยงซอฟต์แวร์รักษาความปลอดภัย Windows แบบดั้งเดิม
หลังจาก Hacker เข้าถึงระบบได้แล้ว จะเปิดใช้งาน หรือติดตั้ง WSL โดยใช้ scripts หรือ command-line tools จากนั้นจึงนำ Linux ransomware payload มาใช้งานภายในสภาพแวดล้อมของเป้าหมาย ซึ่งทำให้ Hacker สามารถเรียกใช้โปรแกรม encryptor บน Linux ได้โดยตรงบนโฮสต์ Windows ขณะเดียวกันก็หลีกเลี่ยงการป้องกันมากมายที่มุ่งเน้นไปที่การตรวจจับมัลแวร์ใน Windows แบบดั้งเดิม
Trend Micro ระบุว่า เทคนิคการโจมตีดังกล่าวนี้แสดงให้เห็นว่ากลุ่ม Ransomware กำลังปรับตัวเข้ากับสภาพแวดล้อมแบบไฮบริดของ Windows และ Linux ได้อย่างไร เพื่อเพิ่มโอกาสในการการเข้าถึงระบบ และหลบเลี่ยงการป้องกันแบบดั้งเดิม
ที่มา : bleepingcomputer
You must be logged in to post a comment.