کمیته رکن چهارم– پژوهشگران امنیت سایبری از حملهای ترکیبی و پیچیده توسط گروه باجافزاری Qilin خبر دادهاند که در آن با استفاده همزمان از نسخه لینوکس باجافزار و تکنیک BYOVD، زیرساختهای سازمانی هدف قرار گرفتهاند. Qilin که از سال ۲۰۲۲ فعال است، در سال ۲۰۲۵ بهطور میانگین ماهانه بیش از ۴۰ حمله انجام داده و در برخی ماهها تا ۱۰۰ قربانی را ثبت کرده است.
به گزارش کمیته رکن چهارم، در حمله اخیر، مهاجمان نسخه لینوکس باجافزار Qilin را بهصورت مستقیم روی سیستمهای ویندوزی اجرا کرده و با استفاده از درایور آسیبپذیر eskle.sys، راهحلهای امنیتی را غیرفعال و ردپاها را پنهان کردهاند. این تکنیک که با نام BYOVD شناخته میشود، به آنها امکان کنترل گسترده روی سیستم را داده است.
در این عملیات، ابزارهایی مانند AnyDesk، ScreenConnect، WinSCP و Splashtop برای کنترل از راه دور، انتقال فایل و اجرای نهایی باجافزار استفاده شدهاند. مهاجمان با اجرای فایل لینوکسی از طریق SRManager.exe و بهرهگیری از PuTTY برای حرکت جانبی، سامانههای ویندوز و لینوکس را بهصورت همزمان آلوده کردهاند. همچنین استفاده از پروکسیهای SOCKS و COROXY برای پنهانسازی ترافیک گزارش شده است.
حملات Qilin عمدتاً از طریق VPN و اعتبارنامههای افشاشده در دارکوب آغاز شده و با استفاده از ابزارهایی چون Cobalt Strike و SystemBC ادامه یافتهاند. در پایان، با رمزگذاری فایلها، حذف Shadow Copyها و گذاشتن یادداشت باج، عملیات به پایان میرسد.
این حملات نشاندهنده تکامل تهدیدهای باجافزاری و ترکیب تاکتیکهای پیشرفته با ابزارهای قانونی برای عبور از لایههای امنیتی سازمانی است.
