Agenda 勒索軟體已成為 2025 年最嚴重的勒索軟體組織之一，趨勢科技研究人員發現，Agenda 勒索軟體組織（又稱 Qilin）利用合法的遠端管理和檔案傳輸工具，在 Windows 主機上部署基於 Linux 的勒索軟體二進位檔案。這種跨平台方法繞過了以 Windows 為中心的偵測和傳統的端點安全解決方案。該技術允許低噪音操作，包括竊取備份憑證以停用復原選項，以及使用 BYOVD（自帶易受攻擊的驅動程式）攻擊來破壞端點防禦。

Agenda 勒索軟體駭客瞄準 Veeam 備份基礎設施，竊取憑證。攻擊者能夠繞過多因素身份驗證 ( MFA ) 並使用合法用戶會話橫向移動，這也支持了這項評估，表明他們擁有收集的憑證，而不是依賴傳統的利用技術。研究人員發現，受感染的系統上系統性地部署了多個PuTTY SSH用戶端，以便於在環境中橫向移動至Linux系統。這些重命名的PuTTY可執行檔使攻擊者能夠與Linux基礎設施建立SSH連接，從而將其攻擊範圍擴展到Windows系統之外，並展示了攻擊的跨平台特性。

組織應透過將這些平台限制在授權管理主機上，並強制執行多因素身份驗證來保護遠端存取和遠端監控與管理工具的安全。組織應監控異常活動，包括非工作時間登入或意外端點之間的橫向移動，並考慮限制允許在特定係統上運行的應用程式或腳本，以降低濫用合法二進位檔案進行惡意攻擊的風險。

備份基礎設施應加強防護，因為攻擊者可能會利用備份系統竊取憑證並停用復原功能。支援備份作業的網路應進行分段，應強制執行最小特權原則，應根據需要輪調管理憑證，並應監控涉及管理工具（例如PowerShell或 SQL 查詢）與備份憑證互動的活動。執行「支援備份作業的網路應進行分段」這項資安控制措施，主要是為了降低備份系統遭受攻擊時的風險，確保備份資料的機密性、完整性與可用性。以下是由Microsoft Copilot生成的執行步驟與建議，可供參考：

理解分段的目的

• 隔離關鍵資產：將備份系統從主要營運網路中分離，避免勒索軟體或惡意軟體橫向移動至備份系統。
• 強化存取控制：限制誰可以從營運網路或外部網路存取備份網路。

建立備份政策

• 備份系統應部署於獨立網段（Backup Zone），並與營運網路（Production Zone）及管理網路（Management Zone）分離。
• 建議使用 VLAN 或子網方式實作分段，並透過 Layer 3 防火牆進行流量管控。

建立備份資料存取政策

• 僅允許授權備份流量由 Production Zone 進入 Backup Zone。
• 禁止外部網路直接存取 Backup Zone。
• 管理人員應透過堡壘主機或跳板機進行存取，並強制使用多因素驗證（MFA）。
• 備份系統不得使用與營運系統相同之帳號或憑證。

規劃分段架構

• 備份區（Backup Zone）：專門用於備份作業的網段。
• 營運區（Production Zone）：日常業務系統所在的網段。
• 管理區（Management Zone）：僅供管理人員透過跳板機或堡壘主機存取備份系統。

建立 VLAN 或子網

使用 VLAN 或子網將備份系統與其他業務系統分開。例如：

• VLAN 10：Production
• VLAN 20：Backup
• VLAN 30：Management

設定防火牆與 ACL（Access Control Lists）

• 僅允許特定的備份流量（如 TCP 445、TCP 137-139、NFS、iSCSI）從 Production 區進入 Backup 區。
• 禁止從外部網路（如 Internet）直接存取 Backup 區。
• 管理存取應透過跳板機或 VPN，並實施多因素驗證（MFA）。

實施網路監控與日誌紀錄

• 對 Backup 區進行流量監控，偵測異常行為。
• 記錄所有存取備份系統的行為，並定期審查。

強化備份系統的安全性

• 使用不可變備份（Immutable Backup）：防止備份資料被竄改或刪除。
• 定期測試還原機制：確保在災難發生時能快速恢復。
• 限制備份帳號權限：避免使用與營運系統相同的帳號或憑證。

資料來源：https://industrialcyber.co/ransomware/agenda-ransomware-abusing-remote-access-backup-tools-to-escalate-attacks-on-critical-infrastructure-in-2025/