Qilin、LinuxベースのランサムウェアでWindowsホストを標的に

出典：Olekcii Mach（Alamy Stock Photo経由）

Quilinランサムウェアグループは、クロスプラットフォーム攻撃でLinuxベースのバイナリを使用してWindowsホストを攻撃し、従来のエンドポイント検出および対応（EDR）プラットフォームを含む、Windows中心の検出やセキュリティソリューションを回避しています。

Trend Microはこのグループによる独自の攻撃を特定しました。Trend Microはこのグループを「Agenda」として追跡しており、現在活動中の最も影響力のあるランサムウェアグループの1つと見なしています。この攻撃では、Qilinが正規のリモート管理およびファイル転送ツール、具体的にはAnyDesk、ATERA Networksのリモート監視・管理（RMM）プラットフォーム、そしてScreenConnectを悪用して、Windowsホスト上にLinuxベースのランサムウェアバイナリを展開しました。

「グループは、WinSCPによる安全なファイル転送とSplashtop RemoteによるLinuxランサムウェアバイナリのWindowsマシン上での実行を組み合わせた新しい展開手法を利用しました」とTrend Microの研究者は金曜日に公開したブログ記事で述べています。

さらに攻撃者は、Veeamバックアップインフラを専門ツールで特に標的とし、「複数のバックアップデータベースから資格情報を体系的に収集し、ランサムウェアペイロードを展開する前に組織の災害復旧能力を損なう」ことを狙っていました、と研究者は書いています。

「この手法は、バックアップ資格情報の標的型窃取によってリカバリオプションを無効化し、BYOVD（脆弱なドライバの持ち込み）攻撃によってエンドポイント防御を無力化する、低ノイズなオペレーションを可能にします」と投稿で述べています。

この攻撃はまた、LinuxベースのランサムウェアをWindows環境に展開することで、従来のWindows中心のセキュリティ制御に挑戦し、「脅威アクターがリモート管理チャネルを通じて実行されるLinuxバイナリの検出や防止に対応していないエンドポイント検出システムを回避するよう適応していることを示しています」と研究者は指摘しています。

攻撃分析

Qilinは攻撃チェーン全体で有効な資格情報を使用し、複数のエンドポイントがCloudflare R2ストレージインフラ上にホストされた悪意ある偽CAPTCHAページに接続していた証拠も示されました。「これらのページは、正規のGoogle CAPTCHA認証プロンプトの説得力のあるレプリカを表示していました」と研究者は述べています。

この分析に基づき、Trend Microは、最初の侵入経路は「偽のCAPTCHAページを利用し、感染システムから認証トークン、ブラウザクッキー、保存された資格情報を収集するインフォスティーラーを配布する高度なソーシャルエンジニアリング手法」によるものと推測しました。

「この評価は、攻撃者が多要素認証（MFA）を回避し、正規ユーザーセッションを使って横移動できたことからも裏付けられます。これは、攻撃者が従来のエクスプロイト手法ではなく、収集した資格情報を保有していたことを示しています」と研究者は書いています。

Splashtop Remote経由で配信されたランサムウェアペイロードには、Qilinが通常使用する身代金メモが含まれており、データ公開の脅迫や、被害者ごとの交渉用資格情報が記載されていました。メモにはファイル拡張子、ドメイン/ログイン/パスワード欄があり、脅威アクターのコミュニケーションポータルへのアクセス情報が提供されていました。

Qilinの急成長

Qilinは2022年7月頃に出現したロシア語話者の脅威グループで、2025年には主要なランサムウェアグループの1つとして台頭しました。同グループは二重脅迫手法とランサムウェア・アズ・ア・サービス（RaaS）モデルを使用していると、週末に公開されたCisco Talosのレポートでも報告されています。

Trend Microによると、同グループは1月以降、62カ国で700以上の組織に影響を与えており、被害者の大半は米国、フランス、カナダ、英国に集中しています。製造、テクノロジー、金融サービス、医療分野の組織が最も影響を受けました。

また同グループは、「倫理的制約の欠如と、社会的影響よりも金銭的利益を優先する姿勢」を示しており、医療機関や公共部門など重要インフラも標的にする意欲があると、Trend Microの研究者は述べています。

Cisco TalosはQilinの迅速な攻撃ペースにも言及し、リークサイトで月40件以上の情報を公開しているとしています。研究者はまた、専門職・科学サービス組織や卸売業が2番目・3番目に影響を受けた分野であると指摘。Cisco Talosのレポートでは、Qilinの標的国としてドイツも追加されています。

「データによれば、2025年6月に投稿数が100件に達し、8月にもほぼ同数が記録されました。被害者数は月によって変動しますが、1月を除き毎月40件以上が記録されています。これらの結果は、Qilinが依然として持続的かつ重大な脅威であることを示しています」とCisco Talosの研究者はレポートで述べています。

Qilin単独でも十分に手強い敵ですが、同グループは今年、LockBitやDragonForceと提携し、リソースや攻撃情報を共有するランサムウェア「カルテル」を結成して、さらに勢力を強化しました。

推奨されるセキュリティ対策

Qilinの重大な脅威ポテンシャルを踏まえ、Trend MicroとCisco Talosは両者とも、防御側に対しグループによる侵入を防ぐための予防策を講じるよう促しています。Trend Microによれば、リスクがあるのは「リモートアクセスプラットフォーム、集中型バックアップソリューション、またはWindows/Linuxのハイブリッドインフラを使用するあらゆる環境」であり、企業にはこれらのツールを許可されたホストに限定し、不審な活動を監視するよう推奨しています。

Trend Microが推奨するその他のベストプラクティスには、リモートアクセスおよびRMMツールのセキュリティ強化、バックアップインフラの堅牢化、BYOVDやクロスプラットフォーム脅威の検出対応が含まれます。

防御側はまた、組織のEDRおよびSOCプレイブックにWindowsとLinuxの両方のテレメトリを含めることで、ハイブリッド環境全体の可視性を拡張すべきです。Trend Microは、資格情報やアクセストークンの保護のために「フィッシング耐性のあるMFA」の適用、アクセス方針の強化、特権アカウントやトークンの異常使用の監視を推奨しています。