FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

韩国金融业近期遭遇一起复杂的供应链攻击，导致麒麟（Qilin）勒索软件被部署。Bitdefender在向The Hacker News提供的报告中指出："此次攻击结合了主要勒索软件即服务（RaaS）组织麒麟的能力，并可能有朝鲜国家背景的黑客组织Moonstone Sleet参与，以托管服务提供商（MSP）入侵作为初始攻击媒介。"

勒索攻击规模激增

麒麟已成为2025年最活跃的勒索软件组织之一，该RaaS团伙在2025年10月呈现"爆炸式增长"，宣称攻击了超过180个目标。根据NCC Group数据，该组织发动的攻击占所有勒索软件攻击的29%。

罗马尼亚网络安全公司Bitdefender表示，他们在发现2025年9月韩国勒索软件受害者数量异常激增后决定深入调查。当时韩国成为仅次于美国的第二大受影响国家，当月记录25起案例，较2024年9月至2025年8月期间平均每月2起受害者的数据显著上升。

进一步分析发现，这25起案例均归因于麒麟勒索软件组织，其中24家受害者来自金融领域。攻击者将此次行动命名为韩国泄密（Korean Leaks）。

地缘政治背景与攻击模式

虽然麒麟可能源自俄罗斯，但该组织自称"政治活动家"和"国家爱国者"。它采用传统联盟模式，招募各类黑客实施攻击，并从非法所得中抽取最高20%的分成。

值得注意的是，其中一个联盟成员是被追踪为Moonstone Sleet的朝鲜黑客组织。据微软披露，该组织曾在2024年4月针对某未具名的国防科技公司部署名为FakePenny的自定义勒索软件变种。2025年2月初，该组织被发现向少数机构分发麒麟勒索软件。虽然尚不确定最新攻击是否确由该黑客组织实施，但针对韩国企业的攻击与其战略目标相符。

三波泄密攻击详情

韩国泄密行动分三波发布，导致28家受害者的超过100万份文件和2TB数据被盗。Bitdefender指出，数据泄露网站（DLS）上与其他四个实体相关的受害者帖子已被删除，可能是由于赎金谈判或特殊内部政策所致。

具体三波攻击如下：

• 第一波：2025年9月14日发布，涉及金融管理领域的10家受害者
• 第二波：2025年9月17日至19日发布，涉及9家受害者
• 第三波：2025年9月28日至10月4日发布，涉及9家受害者

非常规施压手段

此次泄密的独特之处在于摒弃了传统的施压手段，转而大量使用宣传和政治性语言。Bitdefender描述第一波行动时表示："整个行动被包装成揭露系统性腐败的公共服务行为，威胁要发布可能作为'股市操纵证据'的文件以及'韩国知名政商人士'名单。"

后续攻击进一步升级威胁，声称数据泄露可能对韩国金融市场构成严重风险。攻击者还援引严格的数据保护法，呼吁韩国当局调查此案。第三波行动中，该组织最初延续国家金融危机的论调，随后转向"更接近麒麟典型财务动机勒索信息"的语言风格。

MSP入侵暴露安全盲区

为实施这些攻击，麒麟联盟成员据称入侵了一家上游托管服务提供商（MSP），利用其访问权限同时入侵多家受害者。2025年9月23日，《韩国中央日报》报道称，在GJTec公司遭入侵后，该国超过20家资产管理公司感染了勒索软件。

Bitdefender强调："引发'韩国泄密'行动的MSP入侵事件暴露了网络安全讨论中的关键盲点。对于寻求集群受害者的RaaS组织而言，利用能够访问其他企业的供应商、承包商或MSP是更普遍且实用的途径。"

为降低此类风险，企业必须实施多因素认证（MFA）、应用最小权限原则（PoLP）限制访问、隔离关键系统和敏感数据，并主动采取措施减少攻击面。

参考来源：

Qilin Ransomware Turns South Korean MSP Breach Into 28-Victim 'Korean Leaks' Data Heist

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）