Nhóm phần mềm tống tiền Qilin

Qilin (còn được gọi là Agenda, Gold Feather và Water Galura) đã phát triển thành một trong những hoạt động Ransomware-as-a-Service (RaaS) rầm rộ nhất hiện nay. Kể từ đầu năm 2025, nhóm này đã công bố hơn 40 nạn nhân mỗi tháng (ngoại trừ tháng 1), đạt đỉnh điểm khoảng 100 mục rò rỉ vào tháng 6 và ghi nhận 84 nạn nhân vào mỗi tháng 8 và 9 năm 2025. Hoạt động từ khoảng tháng 7 năm 2022, tốc độ và chiến thuật của Qilin khiến nó trở thành một tác nhân rủi ro cao đối với các doanh nghiệp trên toàn thế giới.

Ai bị đánh - Địa lý và Công nghiệp

Phân tích dữ liệu từ xa cho thấy các nạn nhân của Qilin tập trung ở Bắc Mỹ và Tây Âu, trong đó Hoa Kỳ, Canada, Vương quốc Anh, Pháp và Đức là những quốc gia bị ảnh hưởng nặng nề nhất. Nhóm này ưu tiên một số ngành dọc nhất định: sản xuất chiếm khoảng 23% các mục tiêu được quan sát, dịch vụ chuyên nghiệp và khoa học chiếm khoảng 18%, và thương mại bán buôn chiếm khoảng 10%.

Truy cập ban đầu và đặt chân sớm

Các nhà điều tra tin rằng nhiều vụ xâm nhập liên quan đến Qilin bắt đầu bằng thông tin đăng nhập quản trị bị rò rỉ thu thập được từ các kho lưu trữ dark-web. Kẻ tấn công sử dụng thông tin đăng nhập đó để đăng nhập qua giao diện VPN, sau đó thực hiện kết nối RDP đến bộ điều khiển miền và các điểm cuối bị xâm phạm khác. Từ đó, chúng chuyển sang lập bản đồ môi trường và trinh sát sâu hơn.

Thu thập và trang bị thông tin xác thực

Các chiến dịch Qilin sử dụng rộng rãi các công cụ và kỹ thuật thu thập thông tin xác thực. Các nhà điều hành và đối tượng liên kết chạy Mimikatz cùng với các tiện ích như WebBrowserPassView.exe, BypassCredGuard.exe và SharpDecryptPwd để lấy thông tin bí mật từ trình duyệt, kho lưu trữ hệ thống và các ứng dụng khác. Thông tin xác thực thu thập được sẽ được chuyển đến các máy chủ SMTP bên ngoài bằng các tập lệnh Visual Basic. Việc sử dụng Mimikatz được quan sát thấy trong thực tế bao gồm các hành động sau:

• xóa nhật ký sự kiện Windows và xóa dấu vết;
• bật SeDebugPrivilege;
• trích xuất mật khẩu Chrome đã lưu từ cơ sở dữ liệu SQLite;
• khôi phục thông tin đăng nhập từ các lần đăng nhập trước đó; và
• thu thập cấu hình và thông tin đăng nhập cho RDP, SSH và Citrix.

Sống xa đất liền và các công cụ hợp pháp bị lạm dụng

Kẻ tấn công trộn lẫn phần mềm độc hại dễ nhận biết với các tiện ích hệ thống hợp pháp và các công cụ quản trị nổi tiếng để trà trộn. Chúng đã được phát hiện mở các tệp bằng mspaint.exe, notepad.exe và iexplore.exe để kiểm tra thủ công nội dung nhằm tìm thông tin nhạy cảm, đồng thời sử dụng ứng dụng khách Cyberduck chính thống để chuyển các tệp đã chọn đến máy chủ từ xa trong khi che giấu ý định độc hại.

Cách thức sử dụng thông tin đăng nhập bị đánh cắp

Một khi đã có thông tin xác thực, các tác nhân Qilin sẽ leo thang đặc quyền và lan rộng sang các hệ thống khác. Quyền truy cập nâng cao đã được sử dụng để cài đặt nhiều sản phẩm giám sát và quản lý từ xa (RMM) và truy cập từ xa — AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist và ScreenConnect — mặc dù các nhà nghiên cứu (Talos) không phải lúc nào cũng xác định được liệu mỗi sản phẩm được sử dụng chủ yếu cho việc di chuyển ngang hàng hay để điều khiển từ xa liên tục.

Trốn tránh, Kiên trì và Hậu khai thác

Để tránh bị phát hiện, kẻ tấn công thực thi các chuỗi PowerShell vô hiệu hóa AMSI, tắt xác thực chứng chỉ TLS và bật chế độ Quản trị Hạn chế. Chúng cũng triển khai các tiện ích kiểu kill-switch như dark-kill và HRSword để chấm dứt các sản phẩm bảo mật. Để duy trì hoạt động và thực hiện lệnh-và-kiểm soát bí mật, chúng sử dụng Cobalt Strike và SystemBC.

Triển khai và dọn dẹp Ransomware

Giai đoạn cuối cùng là triển khai ransomware Qilin: các tệp bị mã hóa, ghi chú đòi tiền chuộc được lưu trong các thư mục được mã hóa, nhật ký sự kiện Windows bị xóa và tất cả các bản sao ẩn do Dịch vụ sao chép ẩn khối lượng (VSS) tạo ra đều bị xóa để ngăn chặn nỗ lực phục hồi.

Chuỗi tấn công lai nâng cao (nhị phân Linux trên Windows + BYOVD)
Một số sự cố Qilin tinh vi đã kết hợp nhiều kỹ thuật tiên tiến. Kẻ tấn công đã triển khai mã nhị phân ransomware được biên dịch trên Linux nhưng thực thi nó trên máy chủ Windows, kết hợp tải trọng đó với kỹ thuật "mang theo trình điều khiển dễ bị tấn công của riêng bạn" (BYOVD) để vô hiệu hóa hệ thống phòng thủ, và sử dụng công cụ quản lý CNTT hợp pháp để di chuyển qua môi trường và thực thi tải trọng. Trong các cuộc tấn công này, trình điều khiển eskle.sys được phát hiện là thành phần trình điều khiển dễ bị tấn công được sử dụng để vô hiệu hóa các biện pháp kiểm soát bảo mật, tắt tiến trình và tránh bị phát hiện.

Nhắm mục tiêu sao lưu và đánh cắp thông tin xác thực được thiết kế riêng

Qilin đã nhắm mục tiêu cụ thể vào cơ sở hạ tầng sao lưu của Veeam. Kẻ tấn công đã sử dụng các công cụ trích xuất thông tin đăng nhập chuyên dụng trên cơ sở dữ liệu sao lưu để thu thập thông tin đăng nhập, xâm nhập một cách có hệ thống vào nền tảng phục hồi thảm họa của các tổ chức trước khi phát tán ransomware, làm gia tăng đáng kể thiệt hại cho các nạn nhân bị ảnh hưởng.

Cơ chế phân phối CAPTCHA giả mạo và lừa đảo

Ngoài việc lạm dụng tài khoản hợp lệ, một số vụ xâm nhập bắt đầu bằng lừa đảo trực tuyến hoặc các trang CAPTCHA giả mạo kiểu ClickFix được lưu trữ trên Cloudflare R2. Những trang này dường như cung cấp các nội dung đánh cắp thông tin để thu thập thông tin đăng nhập, sau đó được sử dụng lại để giành quyền truy cập mạng ban đầu.

Các kỹ thuật và cơ sở hạ tầng chính được quan sát bao gồm:

• Triển khai DLL proxy SOCKS để cho phép truy cập từ xa và thực thi lệnh.
• Lạm dụng ScreenConnect để chạy lệnh khám phá và công cụ quét mạng nhằm xác định mục tiêu di chuyển ngang.
• Nhắm mục tiêu vào hệ thống sao lưu Veeam để trích xuất thông tin sao lưu từ nhiều cơ sở dữ liệu.
• Sử dụng trình điều khiển eskle.sys trong các cuộc tấn công BYOVD để vô hiệu hóa phần mềm bảo mật và chấm dứt các quy trình phòng thủ.
• Triển khai máy khách PuTTY SSH để di chuyển ngang vào máy chủ Linux.
• Chạy các phiên bản proxy SOCKS trên nhiều thư mục khác nhau để che giấu lưu lượng C2 thông qua cửa hậu COROXY.
• Sử dụng WinSCP để di chuyển mã nhị phân ransomware Linux vào hệ thống Windows.
• Tận dụng SRManager.exe của Splashtop Remote để thực thi mã nhị phân ransomware Linux trực tiếp trên máy tính Windows.

Nhắm mục tiêu ảo hóa và tác động đa nền tảng

Mã nhị phân Linux cung cấp khả năng đa nền tảng: một payload duy nhất có thể ảnh hưởng đến cả hệ thống Linux và Windows trong cùng một môi trường. Gần đây hơn, các mẫu Qilin đã được cập nhật để phát hiện môi trường Nutanix AHV, chứng minh rằng nhóm đang mở rộng phạm vi nhắm mục tiêu vượt ra ngoài các triển khai VMware truyền thống sang các cơ sở hạ tầng siêu hội tụ hiện đại.

Bản tóm tắt

Hoạt động của Qilin kết hợp đánh cắp thông tin đăng nhập, sử dụng sai công cụ quản trị hợp pháp, kỹ thuật BYOVD, tấn công có chủ đích vào hệ thống sao lưu và ransomware đa nền tảng để tối đa hóa tác động và tránh bị phát hiện. Các bên phòng thủ nên ưu tiên kiểm soát thông tin đăng nhập, xác thực đa yếu tố trên giao diện truy cập từ xa, phân đoạn hệ thống sao lưu, giám sát chặt chẽ việc sử dụng bất thường các công cụ quản lý từ xa hợp pháp và các biện pháp kiểm soát để phát hiện hoạt động BYOVD dựa trên trình điều khiển. Các biện pháp này làm giảm khả năng thông tin đăng nhập bị đánh cắp hoặc một điểm xâm phạm duy nhất sẽ dẫn đến việc triển khai ransomware trên quy mô lớn.