Qilinランサムウェアグループ

Qilin（Agenda、Gold Feather、Water Galuraとしても追跡されています）は、現在活動しているランサムウェア・アズ・ア・サービス（RaaS）の中でも、最も活発な活動の一つに成長しました。2025年初頭以降、このグループは毎月40件以上の被害者を記録しており（1月は唯一の例外）、6月にはリークサイトへのエントリが約100件に達し、2025年8月と9月にはそれぞれ84件の被害者を記録しました。2022年7月頃から活動を開始したQilinは、その活動のペースと戦術から、世界中の企業にとってハイリスクな攻撃者となっています。

誰が被害を受けたのか - 地理と産業

インシデントテレメトリの分析によると、Qilinの被害者は北米と西ヨーロッパに集中しており、特に米国、カナダ、英国、フランス、ドイツが被害国として上位にランクされています。このグループは特定の業種を狙っており、製造業が観測された標的の約23%、専門・科学サービスが約18%、卸売業が約10%を占めています。

初期アクセスと初期の足場

捜査官は、Qilin関連企業による侵入の多くは、ダークウェブのリポジトリから漏洩した管理者認証情報から始まると考えています。攻撃者はこれらの認証情報を使用してVPNインターフェース経由でログインし、ドメインコントローラーなどの侵害されたエンドポイントにRDP接続を実行します。そこから、環境マッピングとより詳細な偵察へと進みます。

認証情報の収集とツール

Qilinキャンペーンは、認証情報収集ツールと手法を多用しています。攻撃者と関連企業は、MimikatzをWebBrowserPassView.exe、BypassCredGuard.exe、SharpDecryptPwdなどのユーティリティと共に実行し、ブラウザ、システムストア、その他のアプリケーションから機密情報を取得します。収集された認証情報は、Visual Basicスクリプトを使用して外部SMTPサーバーに流出します。実際に確認されたMimikatzの活動には、以下のものが含まれます。

• Windows イベント ログをクリアし、その他の方法で痕跡を消去します。
• SeDebugPrivilege を有効にします。
• SQLite データベースから保存された Chrome パスワードを抽出します。
• 以前のログオンから資格情報を回復する。
• RDP、SSH、Citrix の構成と資格情報を収集します。

土地で生きることと合法的な道具の乱用

脅威アクターは、明らかなマルウェアを正当なシステムユーティリティやよく知られた管理ツールと組み合わせて、巧妙に紛れ込ませます。mspaint.exe、notepad.exe、iexplore.exe を使用してファイルを開き、手動でコンテンツ内の機密情報を検査したり、正規の Cyberduck クライアントを使用して悪意を隠蔽しながら選択したファイルをリモートサーバーに転送したりすることが確認されています。

盗まれた認証情報がどのように利用されるか

Qilinの攻撃者は、資格情報を入手すると権限を昇格させ、横方向に拡散します。昇格されたアクセス権限は、AnyDesk、Chromeリモートデスクトップ、Distant Desktop、GoToDesk、QuickAssist、ScreenConnectなど、様々なリモート監視・管理（RMM）およびリモートアクセス製品のインストールに利用されています。ただし、研究者（Talos）は、各製品が主に横方向の移動に利用されているのか、それとも永続的なリモート制御に利用されているのかを必ずしも特定できていません。

回避、持続、そして搾取後

攻撃者は検出を回避するために、AMSIを無効化し、TLS証明書の検証を無効にし、制限付き管理者モードを有効にするPowerShellシーケンスを実行します。また、セキュリティ製品を終了させるために、dark-killやHRSwordなどのキルスイッチ型ユーティリティを導入します。さらに、持続性と秘密裏のコマンドアンドコントロールを実現するために、Cobalt StrikeとSystemBCを使用します。

ランサムウェアの展開とクリーンアップ

最終段階は、Qilin ランサムウェアの展開です。ファイルは暗号化され、身代金要求のメモは暗号化されたフォルダーにドロップされ、Windows イベント ログは消去され、ボリューム シャドウ コピー サービス (VSS) によって作成されたすべてのシャドウ コピーは削除され、回復作業を妨害します。

高度なハイブリッド攻撃チェーン（Windows 上の Linux バイナリ + BYOVD）
Qilinを標的とした高度なインシデントの中には、複数の高度な手法を組み合わせたものもありました。攻撃者はLinuxでコンパイルされたランサムウェアバイナリを展開し、Windowsホスト上で実行しました。さらに、そのペイロードを「脆弱なドライバの持ち込み」（BYOVD）技術と組み合わせることで防御を無効化し、正規のIT管理ツールを使用して環境内を移動し、ペイロードを実行しました。これらの攻撃では、eskle.sysドライバが、セキュリティ制御の無効化、プロセスの強制終了、そして検出の回避に利用された脆弱なドライバコンポーネントとして確認されました。

バックアップ標的型攻撃とカスタマイズされた認証情報窃盗

Qilinは特にVeeamのバックアップインフラストラクチャを標的としています。攻撃者はバックアップデータベースに対して特殊な認証情報抽出ツールを用いて認証情報を取得し、組織の災害復旧プラットフォームを体系的に侵害した上でランサムウェアを拡散させ、被害者のリスクを大幅に高めました。

フィッシングと偽CAPTCHA配信メカニズム

正当なアカウント不正利用に加え、一部の侵入はスピアフィッシングや、Cloudflare R2でホストされているClickFix形式の偽CAPTCHAページから始まりました。これらのページは、認証情報を収集する情報窃取ペイロードを配信しているようで、これらの情報はその後、ネットワークへの初期アクセスに再利用されます。

観察された主要な技術とインフラストラクチャは次のとおりです。

• リモート アクセスとコマンド実行を可能にするために SOCKS プロキシ DLL を展開します。
• ScreenConnect を悪用して検出コマンドとネットワーク スキャン ツールを実行し、横方向の移動ターゲットを見つけます。
• Veeam バックアップ システムをターゲットにして、複数のデータベースからバックアップ資格情報を抽出します。
• BYOVD 攻撃で eskle.sys ドライバーを使用して、セキュリティ ソフトウェアを無効にし、防御プロセスを終了します。
• PuTTY SSH クライアントを展開して Linux ホストに横方向に移動させます。
• 異なるディレクトリ間で SOCKS プロキシ インスタンスを実行し、COROXY バックドア経由の C2 トラフィックを難読化します。
• WinSCP を使用して、Linux ランサムウェア バイナリを Windows システムに移動します。
• Splashtop Remote の SRManager.exe を活用して、Linux ランサムウェア バイナリを Windows マシン上で直接実行します。

クロスプラットフォームの影響と仮想化のターゲット設定

Linuxバイナリはクロスプラットフォーム機能を備えており、単一のペイロードで環境内のLinuxシステムとWindowsシステムの両方に影響を与えることができます。最近、QilinのサンプルはNutanix AHV環境を検出できるように更新されました。これは、このグループが従来のVMware環境だけでなく、最新のハイパーコンバージドインフラストラクチャにも標的を拡大していることを示唆しています。

まとめ

Qilinの活動は、認証情報の窃取、正規の管理ツールの悪用、BYOVD技術、バックアップシステムへの標的型攻撃、クロスプラットフォームランサムウェアを巧みに組み合わせることで、効果を最大化し、検知を回避します。防御側は、認証情報の衛生管理、リモートアクセスインターフェースでの多要素認証、バックアップシステムのセグメンテーション、正規のリモート管理ツールの異常な使用に対する厳格な監視、そしてドライバーベースのBYOVDアクティビティを検知するための制御を優先的に実施する必要があります。これらの対策により、窃取された認証情報や単一の侵害点が、本格的なランサムウェアの展開につながる可能性を低減できます。