Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Qilin ransomware - Mã độc tống tiền liên quan đến nhóm APT Moonstone Sleet

Updated
5 min read
Qilin ransomware - Mã độc tống tiền liên quan đến nhóm APT Moonstone Sleet
T
Tran Hoang Phong

Just a SOC Analyst ^^

Part of seriesNewsletters

Microsoft đã quan sát thấy một nhóm APT có liên quan đến Triều Tiên, với tên gọi Moonstone Sleet, triển khai phần mềm tống tiền Qilin trong các cuộc tấn công kể từ tháng 2 năm 2025. Nhóm này thường sử dụng phương thức tống tiền kép, đánh cắp và mã hóa dữ liệu của nạn nhân, sau đó đe dọa sẽ tiết lộ dữ liệu nếu không trả tiền chuộc.

Qilin ransomware là gì?

Qilin, còn được biết đến với tên Agenda, là một loại mã độc ransomware-as-a-service (RaaS). Nó được cho thuê hoặc bán cho các kẻ tấn công dưới dạng dịch vụ để thực hiện hành vi xâm nhập, mã hóa dữ liệu của các tổ chức và yêu cầu tiền chuộc. Nhóm này hoạt động từ năm 2022 và đã thực hiện nhiều cuộc tấn công nhằm vào các tổ chức lớn trên toàn cầu.

Kể từ khi ra mắt vào tháng 10/2022, Qilin đã được sử dụng để tấn công nhiều nạn nhân như các toà soạn báo, các doanh nghiệp sản xuất linh kiện ô tô, và thậm chí là dịch vụ tòa án tại Úc. Đáng chú ý nhất là cuộc tấn công vào Synnovis, nhà cung cấp dịch vụ y tế cho chính phủ Anh.

Vào tháng 5 năm 2024, Microsoft đã phát hiện nhóm “Moonstone Sleet” (với tên gọi trước đây là Storm-1789) đang sử dụng mã độc Qilin trong các chiến dịch tấn công của nhóm này. Mục tiêu của nhóm này là động cơ tài chính cũng như là gián điệp mạng. Chúng lan truyền mã độc bằng những phần mềm độc hại, trò chơi độc hại và sử dụng các công ty giả mạo như StarGlow Ventures và C.C. Waterfall để lừa nạn nhân trên LinkedIn, các trang web tìm việc freelancer, Telegram và email.

Cách thức lây nhiễm

Hình 1. Quy trình tấn công chiến dịch Moonstone Sleet

Dựa vào sơ đồ tấn công trong ảnh, Moonstone Sleet sử dụng một quy trình tấn công nhiều giai đoạn để phát tán mã độc, xâm nhập hệ thống mục tiêu và thực thi mã từ máy chủ điều khiển (C2).

1. Giai đoạn khởi đầu - Tiếp cận nạn nhân

  • Kẻ tấn công sử dụng các ứng dụng nhắn tin, các website freelancer để tiếp cận nạn nhân.

  • Mục tiêu của chúng là lừa nạn nhân tải về một tập tin ZIP chứa phần mềm PuTTY đã bị trojan hóa (Trojanized PuTTY) cùng với một tệp văn bản (url.txt).

2. Giai đoạn xâm nhập - Thực thi mã độc ban đầu

  • Khi nạn nhân nhập địa chỉ IP và mật khẩu từ url.txt vào PuTTY, tệp putty.exe đã bị trojan hóa sẽ thực thi.

  • Trojanized PuTTY thực hiện giải mã, giải nén và thực thi payload SplitLoader installer, bắt đầu giai đoạn tiếp theo của cuộc tấn công.

3. Giai đoạn triển khai - Cài đặt backdoor

  • SplitLoader installer/dropper thực hiện giải mã và giải nén payload tiếp theo (SplitLoader DLL).

  • Đồng thời, trình cài đặt cũng thả hai tệp độc hại xuống ổ đĩa để phục vụ cho các bước sau.

  • SplitLoader được thực thi thông qua tác vụ lập lịch (scheduled task) hoặc registry run key, đảm bảo sự hiện diện của mã độc trên hệ thống.

4. Giai đoạn tải mã độc bổ sung

  • SplitLoader giải mã, giải nén và kết hợp hai tệp đã được thả vào ổ đĩa trong giai đoạn trước để tạo một tệp thực thi PE file.

  • Đây là giai đoạn giúp kẻ tấn công có thể triển khai phần mềm độc hại mạnh hơn vào hệ thống mục tiêu.

5. Giai đoạn kết nối C2 - Kiểm soát hệ thống

  • Trojan loader sẽ tải, giải nén và thực thi tệp PE từ máy chủ điều khiển (C2 infrastructure).

  • Sau khi thực thi, kẻ tấn công có thể hoàn toàn kiểm soát hệ thống mục tiêu, triển khai thêm mã độc khác như ransomware hoặc công cụ gián điệp.

Các IOCs liên quan đến mã độc Qilin ransomware

FIle hash

73b1fffd35d3a72775e0ac4c836e70efefa0930551a2f813843bdfb32df4579aSHA256
afe7b70b5d92a38fb222ec93c51b907b823a64daf56ef106523bc7acc1442e38SHA256
dd50d1f39c851a3c1fce8abdf4ed84d7dca2b7bc19c1bc3c483c7fc3b8e9ab79SHA256
e4cbee73bb41a3c7efc9b86a58495c5703f08d4b36df849c5bebc046d4681b70SHA256

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch tấn công này:

  • Sao lưu dữ liệu an toàn: Đảm bảo có các bản sao lưu ngoại tuyến để phục hồi dữ liệu trong trường hợp bị mã hóa.

  • Cập nhật hệ thống: Luôn cập nhật các bản vá bảo mật mới nhất để bảo vệ hệ thống khỏi các lỗ hổng có thể bị khai thác.

  • Quản lý quyền hạn: Giới hạn quyền truy cập của người dùng, áp dụng phân đoạn mạng để ngăn chặn kẻ tấn công di chuyển ngang trong hệ thống.

  • Bảo mật tài khoản: Sử dụng mật khẩu mạnh, duy nhất và kích hoạt xác thực đa yếu tố (MFA) để bảo vệ thông tin đăng nhập.

  • Mã hóa dữ liệu: Thực hiện mã hóa dữ liệu nhạy cảm để bảo vệ khỏi nguy cơ bị đánh cắp hoặc rò rỉ.

  • Giảm thiểu bề mặt tấn công: Vô hiệu hóa các chức năng không cần thiết để giảm nguy cơ bị khai thác.

  • Nâng cao nhận thức bảo mật: Đào tạo nhân viên về rủi ro bảo mật và phương thức tấn công mà tội phạm mạng thường sử dụng.

Tham khảo

#ransomware#threat-intelligence

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.