Hệ thống phòng thủ bị vô hiệu hóa như thế nào? Bên trong chiến dịch của Qilin & Warlock

Tóm tắt chiến dịch

Hai nhóm Ransomware-as-a-Service (RaaS) khét tiếng là Qilin và Warlock (hay còn gọi là Water Manaul) đang độc lập triển khai kỹ thuật "Bring Your Own Vulnerable Driver" (BYOVD) ở cấp độ Kernel. Mục tiêu của chúng là chủ động "giết" các tiến trình Endpoint Detection and Response (EDR) trước khi giải phóng tải trọng mã hóa. Nghiên cứu xác nhận các bộ công cụ này có khả năng vô hiệu hóa hơn 300 EDR driver thuộc gần như toàn bộ các hãng bảo mật lớn trên thị trường hiện nay.

Mức độ báo động của chiến dịch Qilin đã được chứng minh qua số liệu thực tế: Trong năm 2025, lượng sự cố ransomware tại Nhật Bản tăng 17.5%, trong đó Qilin chiếm tỷ trọng lớn nhất với 16.4% tổng số ca nhiễm, nhắm mạnh vào các ngành sản xuất và thiết bị ô tô. Việc vũ khí hóa BYOVD vốn từng là đặc quyền của các nhóm Nation-State APT, nhưng nay nó đã bị thương mại hóa cho các nhóm lợi ích tài chính.

Hành động cấp thiết nhất dành cho mọi tổ chức: Kích hoạt ngay tính năng toàn vẹn mã được bảo vệ bởi Hypervisor (HVCI - Memory Integrity) và cập nhật tức thì danh sách Microsoft Vulnerable Driver Blocklist trên toàn bộ phân vùng Windows.

Hồ sơ Nhóm Tin tặc

Đứng sau chiến dịch BYOVD quy mô lớn này là hai tổ chức ngầm độc lập nhưng sở hữu năng lực đáng gờm:

Nhóm Qilin: Một băng đảng RaaS (Ransomware-as-a-Service) có dấu hiệu căn cứ tại khu vực hậu Xô Viết (Post-Soviet region). Bằng chứng rõ nét nhất nằm ở module EDR Killer của nhóm được tích hợp "Geo-fencing" nhằm ngăn mã độc kích hoạt trên các hệ thống dùng nhóm ngôn ngữ khu vực này, giúp chúng lách luật trừng phạt nội địa. Hiện tại, Qilin vươn lên trở thành nhóm vận hành mã độc tốn giấy mực nhất với lượng nạn nhân tống tiền tăng vọt, tiêu biểu như sức phá hoại chiếm tỉ trọng lớn nhất trong các cuộc tấn công tại Nhật Bản nửa đầu 2025.

Nhóm Warlock (hay Water Manaul): Băng đảng RaaS khai thác triệt để nhánh mã độc tống tiền rẽ nhánh từ LockBit (phân phối payload mã hóa chấm đuôi .x2anylock). Hành vi đặc thù của Warlock là tận dụng sự đình trệ trong quy trình vá lỗi máy chủ Microsoft SharePoint của quản trị viên và nhẫn trường "nằm vùng" tới 15 ngày để thâu tóm hoàn toàn cấu hình Domain Controller trước khi giáng mạng lưới mã hóa diện rộng qua GPO.

Timeline Sơ Bộ

Tiền khởi chạy: Qilin trích xuất thông tin đăng nhập bị đánh cắp trên Darknet hoặc Breach Forums. Warlock lợi dụng các máy chủ Microsoft SharePoint công khai chưa vá lỗi lõi.

Dwell Time: Từ khi bắt đầu xâm nhập đến khi thả mã hóa, Qilin mất trung bình khoảng 6 ngày. Trong khi đó, nhóm Warlock sẵn sàng nằm vùng (dwell time) lên tới 15 ngày để trích xuất dữ liệu và dàn xếp kịch bản GPO trước khi tấn công.

Thực thi: Khởi động BYOVD driver diệt EDR, mã hóa và thiết lập mô hình tống tiền kép.

Kill Chain & Attack Flow

Giai đoạn 1: Initial Access

Qilin: Chiếm quyền qua lỗ hổng trên dịch vụ internet-facing, phishing hoặc credential nộp trên web đen.

Warlock: Khai thác vào lỗ hổng chưa vá trên các dịch vụ Microsoft SharePoint.

Giai đoạn 2: Execution & Persistence

Qilin: Dùng FoxitPDFReader.exe hợp lệ để nhúng (side-load) một DLL độc hại msimg32.dll.

Warlock: Thả Web Shell để mở cổng C2 và dùng công cụ TightVNC được ngụy trang thành một Windows Service mặc định để bám trụ mạng.

Giai đoạn 3: Defense Evasion & Credential Access

Qilin: Cắt đứt luồng giám sát Event Tracing for Windows (ETW), áp dụng cơ chế Halo's Gate để bypass các API syscall hook, sau đó thả kernel driver hlpdrv.sys để tắt luôn EDR.

Warlock: Cấy NSecKrnl.sys chạy tự do ngầm dưới kernel nhằm đóng băng EDR, sau đó triển khai Rclone ngụy trang dưới các file Security giả mạo (TrendSecurity.exe) nhằm đẩy dữ liệu ra ngỏ hậu.

Giai đoạn 4: Impact (Ransomware Execution)

Qilin mã hóa các file theo tiêu chuẩn mở. Trái lại, Warlock cấu hình mã hóa đồng loạt trên diện rộng qua Active Directory GPO, đẩy payloads xuống các folder SYSVOL / NETLOGON và ép máy nạn nhân chạy khi reboot. File bị khóa có đuôi .x2anylock.

Phân tích kỹ thuật chi tiết

Sự thay đổi cốt lõi trong các chiến dịch mới này là chuỗi EDR Killer ở cấp Kernel.

Cơ chế bypass In-Memory của Qilin: Khác với các phương thức dừng tiến trình thô bạo (dễ bị phát hiện), Qilin sử dụng một chuỗi nạp DLL (msimg32.dll) tinh chỉnh cực kỳ phức tạp. Tính chất nguy hiểm nhất là toàn bộ chuỗi này thi triển trên bộ nhớ RAM (In-Memory) nhằm qua mặt mọi máy quét ổ cứng, diễn ra lần lượt theo 4 chặng:

Chặng 1 — Chiếm quyền ưu tiên nạp DLL (Search Order Hijacking): Kẻ tấn công thả một file msimg32.dll giả mạo nằm cùng thư mục với phần mềm đọc PDF hợp lệ (ví dụ: FoxitPDFReader.exe). Khi quản trị viên hoặc hệ thống chạy phần mềm PDF, Windows vô tình bị lừa nạp luôn file DLL giả mạo thay vì file gốc của hệ điều hành. Để tránh gây nghi ngờ vì crash phần mềm, DLL độc hại sẽ âm thầm "chuyển tiếp" (forward) mọi phản hồi hợp pháp về lại file msimg32.dll hàng "xịn" đang ngự ở C:\Windows\System32\.

Chặng 2 — Giải mã và lẩn trốn trên RAM (Multi-Stage In-Memory Loader): Tiếp theo, đoạn mã độc tự giải nén chính nó qua ba tiến trình liên tiếp trên bộ nhớ tạm (không hề chạm đĩa). Để đối phó với các cơ chế phòng thủ tân tiến, chúng triển khai một rào chắn hoàn hảo: Tắt hệ thống ghi log mặc định của Windows (ETW suppression) để bách độc tín hiệu, dùng phương thức "Halo's Gate" nhằm luồn lách qua các móc chặn kiểm tra (syscall hooks) của hệ điều hành, đồng thời ngụy trang rối rắm luồng thực thi (thông qua SEH/VEH obfuscation) làm nản lòng bất kì chuyên gia đảo ngược vi mã (Reverse Engineer) nào đổ mồ hôi phân tích rác RAM.

Chặng 3 — Hạ thổ vũ khí diệt EDR (BYOVD Deployment): Chỉ khi các lá chắn ẩn danh đã giăng kín, khối payload trên RAM mới lẳng lặng thả đúng 2 file driver xuống thư mục bộ nhớ rác %TEMP%. File đầu tiên là rwdrv.sys – vỏ bọc của driver ThrottleStop.sys (được cấp chữ ký tin cậy từ tập đoàn bên thứ 3 nhưng mang lỗi nghiêm trọng về quản lý quyền), cho phép ứng dụng đọc/ghi thẳng vào cấu trúc cấu hình gốc của CPU. File thứ hai là hlpdrv.sys, sẽ "ké" quyền cấm lách đạo từ file thứ nhất để ra thẳng lệnh truy sát tiến trình tự vệ trên các ứng dụng bảo mật.

Chặng 4 — "Thảm sát" EDR trong im lặng: Qilin không kill EDR một cách lộ liễu. Trước khi ra tay rút ống thở, driver độc hại dùng quyền hạn chiếm được lẳng lặng tháo sạch mọi "camera an ninh" (EDR monitoring callbacks) mà phần mềm bảo vệ đã cắm vào lõi HĐH. Tiến trình EDR bị mù từ bên trong và tắt lịm, hoàn toàn không đẩy kịp bất kì cảnh báo sập nguồn nào về cho máy chủ trung tâm (SOC). Khi khiên bảo vệ triệt để tan biến, ransomware bắt đầu cuộc thảm sát mã hoá tập tin.

Cơ chế BYOVD của Warlock: Ở một mặt trận khác, thay vì dùng driver cũ googleApiUtil64.sys như đầu năm, Warlock nay đã chuyển qua sử dụng bản nâng cấp NSecKrnl.sys. Chiến thuật đánh lừa EDR kết hợp thao tác ẩn thân qua việc đổi tên trực tiếp file độc hại thành "TrendFileSecurityCheck.exe". Đây là nghệ thuật hòa mình vào môi trường giả tạo (Ngụy trang thành quy trình quét hợp lệ của phần mềm Trend Micro) khiến phần mềm phân tích tín hiệu dễ làm ngơ với luồng dữ liệu đánh tráo.

IOCs

Các file độc hại (Hash SHA-256)

7787da25451f5538766240f4a8a2846d0a589c59391e15f188aa077e8b888497

16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0

bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56

Network Indicators (C2)

198[.]13[.]158[.]193

MITRE ATT&CK Mapping

TA0001 - Initial Access: T1190 (Exploit Public-Facing Application) - Nhắm vào SharePoint.

TA0002 - Execution: T1569.002 (Service Execution) - Khởi chạy Windows Services.

TA0003 - Persistence: T1543.003 (Windows Service) - TightVNC cài qua PsExec.

TA0005 - Defense Evasion: T1574.002 (DLL Side-Loading), T1068 (Exploitation for Privilege Escalation - BYOVD), T1562.001 (Disable or Modify Tools - Tắt EDR driver).

TA0011 - Command and Control: T1090.003 (Multi-hop Proxy) - Dùng SOCKS5 Yuze, VS Code tunnel, Cloudflare Tunnel.

Nhận định chuyên gia

Những cuộc tấn công trên phá vỡ niềm tin sai lầm rằng: Chỉ cần có một sản phẩm EDR đắt tiền là đủ để bảo vệ Endpoint. Bằng việc tận dụng một file driver (như ThrottleStop) vô hại nhưng chứa lỗi thiết kế quyền Memory (mở đường cho BYOVD), mã độc RaaS hiện tại tự động khóa chặt cả một EDR pipeline trong tích tắc mà trung tâm SOC thậm chí không nhận được một log sự cố nào.

Chỉ số 6 đến 15 ngày dwell time trong chiến dịch này cho thấy lỗ hổng cực kì lớn về mặt "Pre-Ransomware Detection". Nếu SOC team không có khả năng phát hiện các hành vi bất thường, giả dụ như các lệnh net user /add chạy liên tục vào lúc rạng sáng, RaaS group sẽ coi những đặc quyền này như bãi thử tự do cho việc thả lỏng chuỗi DLL injection. Hơn thế nữa, RaaS đã chính thức kéo ngang năng lực kỹ thuật của một cuộc tấn công tống tiền so với các cuộc tấn công cấp quốc gia.

Khuyến nghị

Immediate (Tức thời 0-24h)

Bật ngay tính năng Hypervisor-Protected Code Integrity (HVCI - Memory Integrity) trên tất cả Endpoint chạy Windows (nằm trong Windows Security > Device Security > Core Isolation). HVCI là chốt chặn quan trọng nhất ép ngừng việc nhúng file rwdrv.sys hoặc NSecKrnl.sys.
Triển khai Windows Defender Application Control (WDAC) import danh sách theo chuẩn Microsoft Vulnerable Driver Blocklist.

Short-term (1-7 ngày)

Xây dựng luật cảnh báo nội bộ (EDR/SIEM/Sysmon): Đánh dấu bất kì quá trình gọi file msimg32.dll nào mà nằm ngoài thư mục C:\Windows\System32. Cổng side-loading thường diễn ra qua FoxitPDFReader.exe hoac 7-Zip.
Kích hoạt luật cảnh báo khi một service hệ thống mới được cài đặt (Event ID 7045) hoặc có báo lỗi tải driver (Event ID 219) liên quan các vùng %TEMP%, SYSVOL. Cụ thể: Khai báo Sysmon quét các Event ID 6 (DriverLoad).

Long-term

Quản lý siêu chặt chẽ hạ tầng Group Policy. Kịch bản tống tiền qua AD của Warlock phụ thuộc hoàn toàn vào quá trình ghi payload vào thư mục SYSVOL để ép Domain Controller cài đè ransomware cho các nhánh client con. Chuyển đổi mô hình thành Tiered administration để thu hẹp phạm vi tổn thất (blast radius) trong môi trường bị bẻ khóa.
Quán triệt việc vá lỗi ứng dụng Web, đặc biệt ngay trên Microsoft SharePoint.