Qilin勒索组织声称已入侵空客和波音的1家法国关键供应商
该组织在其暗网泄露网站上发布了 它们 已入侵空客和波音的1家法国关键供应商 的声明消息。
该勒索组织在其暗网数据泄露网站上发布声明,宣称已成功入侵Lisi Group(或Lisi Aerospace)。
截至发稿时,该公司尚未确认此次网络安全事件。
Cybernews的研究人员检查了Qilin提供的、用于证明其入侵和数据泄露的样本文件。
这些样本包括:
可追溯至2016年的银行转账截图。
销售计划和内部商业文件。
包含据称属于该公司银行账户详细信息的文件。
员工同意书和保密协议(NDA)。
供应合同。
包含员工全名和联系方式的文件。
与合作伙伴公司相关的文件。
Lisi Group是一家航空航天和汽车工业零部件制造商。根据其官网信息,该公司为空中客车(Airbus)、波音(Boeing)、达索航空(Dassault)以及一级方程式车队等客户提供服务。
目前,Lisi Group的官方网站似乎运行正常。
Cybernews已通过电子邮件联系该公司寻求置评,若收到回复将更新本文。
背景信息
Qilin(又名“麒麟”)勒索组织首次于2022年被观察到。该组织通常采用双重勒索策略,即先窃取大量敏感数据,然后对受害者的系统进行加密。
随后,他们会要求受害者支付赎金,以换取解密密钥并承诺不公开被盗数据。
该组织过去曾针对医疗、教育和制造业等多个关键行业发起攻击。
去年,英国多家托管服务提供商(MSP)遭遇大规模网络攻击,据信幕后黑手就是Qilin勒索团伙,该事件导致英格兰多家国民医疗服务体系(NHS)信托机构的患者数据被泄露。
建议
如果您怀疑自己的设备可能感染了勒索软件,建议立即断开其与互联网和所有网络连接,以阻止恶意软件传播。随后,应向所在组织的IT部门或网络安全专家报告此事件。
保持软件和操作系统为最新状态、定期备份重要数据并将其离线存储,是防范勒索软件攻击的有效措施。
截至发稿时,该公司尚未确认此次网络安全事件。
Cybernews的研究人员检查了Qilin提供的、用于证明其入侵和数据泄露的样本文件。
这些样本包括:
可追溯至2016年的银行转账截图。
销售计划和内部商业文件。
包含据称属于该公司银行账户详细信息的文件。
员工同意书和保密协议(NDA)。
供应合同。
包含员工全名和联系方式的文件。
与合作伙伴公司相关的文件。
Lisi Group是一家航空航天和汽车工业零部件制造商。根据其官网信息,该公司为空中客车(Airbus)、波音(Boeing)、达索航空(Dassault)以及一级方程式车队等客户提供服务。
目前,Lisi Group的官方网站似乎运行正常。
Cybernews已通过电子邮件联系该公司寻求置评,若收到回复将更新本文。
背景信息
Qilin(又名“麒麟”)勒索组织首次于2022年被观察到。该组织通常采用双重勒索策略,即先窃取大量敏感数据,然后对受害者的系统进行加密。
随后,他们会要求受害者支付赎金,以换取解密密钥并承诺不公开被盗数据。
该组织过去曾针对医疗、教育和制造业等多个关键行业发起攻击。
去年,英国多家托管服务提供商(MSP)遭遇大规模网络攻击,据信幕后黑手就是Qilin勒索团伙,该事件导致英格兰多家国民医疗服务体系(NHS)信托机构的患者数据被泄露。
建议
如果您怀疑自己的设备可能感染了勒索软件,建议立即断开其与互联网和所有网络连接,以阻止恶意软件传播。随后,应向所在组织的IT部门或网络安全专家报告此事件。
保持软件和操作系统为最新状态、定期备份重要数据并将其离线存储,是防范勒索软件攻击的有效措施。
关于作者
评论1次
### 结论 Qilin团伙极可能通过供应链或员工数据泄露渗透Lisi Group,利用其与空客/波音的业务关联横向扩散。样本文件中包含员工敏感信息(如NDA、银行账户、合同),推测攻击路径与社会工程学(钓鱼)或第三方供应商漏洞有关。需重点验证数据泄露源头(Source)及勒索软件执行链(Sink)。 --- ### 分析路径 #### **L1 攻击面识别** 1. **数据源(Source)** - 公开信息:Lisi官网披露的客户列表(空客/波音等)可能被用于定向社工。 - 员工信息:泄露的员工全名、联xi方式、银行账户等可作为钓鱼攻击载体。 - 供应链关xi:若Lisi依赖第三方MSP(参考Qilin历史攻击),其xi统可能被横向渗透。 2. **攻击面暴露点** - 未加密的内部文件(如销售计划、合同)可能通过弱口令或未授权访问泄露。 - 供应链漏洞:若Lisi使用未更新的工业软件(如PLMxi统),可能被利用。 --- #### **L2 假设与验证** **假设1:钓鱼攻击诱导员工下载恶意载荷** - 验证:检查样本文件哈xi是否匹配已知Qilin勒索软件(如Qilin Loader或加密器的YARA规则)。 - 关键日志:员工终端事件日志中是否存在异常下载记录或进程行为(如PowerShell执行可疑命令)。 **假设2:通过供应链MSP横向渗透** - 验证:核查Lisi的MSP供应商网络拓扑,确认是否与英国NHS事件中被攻击的MSP存在关联。 - 关键证据:网络流量中是否存在C2通信(参考Qilin C2域名/IP历史记录)。 --- #### **L3 边界/异常场景** 1. **数据外泄边界** - 检查泄露文件的时间戳(如银行转账截图至2016年),判断是否为勒索团伙长期驻留(Long-term persistence)的结果。 - 验证文件真实性:通过哈xi比对Lisi官网公开的PDF文件签名或水印,确认是否为真实内部文档。 2. **防御规避行为** - 若存在勒索加密行为,需分析其Sink机制:是否使用XOR/ AES混合加密?是否依赖内存驻留技术逃避检测? --- #### **L4 防御反推与修复** **修复方向:Source-Sink双向阻断** 1. **源头(Source)加固** - 对敏感文件实施零信任策略:强制加密、最小权限访问(如仅允许业务部门读取合同文件)。 - 禁用员工账户的公共云存储(如Google Drive)直接分享公司文件权限。 2. **Sink链阻断** - 网络层:部署勒索软件行为检测规则(如检测加密行为的异常速率)。 - 主机层:禁用不必要的端口(如3389)、关闭 SMBv1(历史攻击常用入口)。 3. **供应链监控** - 审查第三方MSP的SOC报告,强制要求提供网络分割(Network Segmentation)证明。 - 对工业xi统(如PLM/ERP)实施补丁管理和漏洞扫描。 --- ### 验证步骤(最小路径) 1. **样本文件分析** - 提取样本哈xi值,比对VirusTotal/Qilin家族IOC库。 - 使用ExifTool检查文件元数据(如修改时间、作者字段)是否异常。 2. **内网横向移动追踪** - 检查域控制器日志,确认是否存在异常组策略修改或权限提升事件。 - 使用BloodHound绘制Lisi内部权限关xi图,定位潜在高危路径。 3. **勒索软件行为复现(研究场景)** - 在隔离环境部署蜜罐,模拟员工终端交互,监控Qilin样本的行为特征。 --- ### 修复建议 - **立即行动**:断开疑似感染xi统,隔离备份数据(避免勒索软件加密离线存储)。 - **长期防御**: 1. 实施多因素认证(MFA)于员工VPN和关键业务xi统。 2. 部署EDR并配置勒索软件防护规则(如文件加密行为告警)。 3. 每季度模拟钓鱼邮件测试,强化员工对社工攻击的识别能力。 --- **信息缺口提示**:若无Lisi的xi统日志或网络拓扑,建议通过DMARC记录分析异常邮件流量,或联xi第三方MSP获取其审计报告。