Qilin ransomware là một trong những mối đe dọa hoạt động mạnh và gây thiệt hại lớn trong bối cảnh mã độc ransomware hiện nay. Nhóm này liên tục thay đổi chiến thuật kể từ khi xuất hiện vào năm 2022, trong đó kỹ thuật mới nhất là liệt kê lịch sử xác thực Remote Desktop Protocol (RDP) trên máy chủ bị xâm nhập để lập bản đồ mạng và xác định mục tiêu tiếp theo.
Qilin ransomware và mô hình RaaS
Qilin, còn được gọi là Agenda, là một nhóm Ransomware-as-a-Service (RaaS) được cho là có liên hệ với Nga. Khi mới xuất hiện vào tháng 7/2022, nhóm này chưa thu hút nhiều chú ý.
Đến năm 2023, nhóm đã tăng tốc đáng kể với 45 cuộc tấn công, nhắm vào các lĩnh vực trọng yếu như y tế, sản xuất, tài chính và cơ quan chính phủ. Đến năm 2025, Qilin ransomware đã vượt mốc 700 vụ tấn công xác nhận trong một năm, trở thành một trong những tác nhân ransomware hoạt động nhiều nhất được ghi nhận.
Victim đã bao gồm các bệnh viện NHS tại London và hệ thống chính quyền cấp hạt tại Hoa Kỳ, cho thấy phạm vi ảnh hưởng rộng của mối đe dọa mạng này.
Chuỗi xâm nhập ban đầu và kỹ thuật ẩn mình
Nhóm thường có được quyền truy cập ban đầu thông qua email spearphishing, khai thác các lỗ hổng CVE đã biết, hoặc lạm dụng các công cụ Remote Monitoring and Management (RMM). Tham khảo thêm về RMM tại: https://cybersecuritynews.com/best-remote-monitoring-tools/.
Sau khi vào được hệ thống, kẻ tấn công tập trung mở rộng phạm vi một cách lặng lẽ bằng kỹ thuật living-off-the-land, tận dụng công cụ sẵn có của hệ điều hành để tránh bị phát hiện bởi cơ chế giám sát thông thường.
Qilin ransomware cũng sử dụng chiến thuật double extortion: vừa mã hóa dữ liệu, vừa đe dọa công khai dữ liệu nếu không đáp ứng yêu cầu tiền chuộc. Cách này tạo áp lực lớn lên nạn nhân trong bối cảnh rủi ro bảo mật tăng cao.
Kỹ thuật phát hiện xâm nhập qua lịch sử RDP
Nhà nghiên cứu an toàn thông tin Maurice Fielenbach đã ghi nhận một bước trinh sát đáng chú ý của Qilin ransomware trên một máy chủ đã bị xâm nhập.
Quan sát cho thấy nhóm đã dùng một lệnh PowerShell để truy xuất mọi sự kiện có Event ID 1149 từ log Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational.
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational'; Id=1149}Truy vấn này cho phép kẻ tấn công xác định tài khoản nào đã dùng RDP trên máy chủ, hệ thống nào đã kết nối đến, và tài khoản nào có vẻ đặc quyền để tiếp tục nhắm mục tiêu trong giai đoạn tấn công mạng tiếp theo.
Script được triển khai thông qua một cài đặt ScreenConnect giả mạo trong quá trình xâm nhập, cho thấy cách nhóm lợi dụng công cụ quản trị từ xa để đưa lệnh vào hệ thống.
Vì sao kỹ thuật này khó bị phát hiện
Kỹ thuật liệt kê lịch sử xác thực RDP này tạo rất ít tiếng ồn. Thay vì quét mạng ồn ào hoặc dùng công cụ liệt kê Active Directory dễ bị phát hiện, Qilin ransomware tận dụng cơ chế ghi log sẵn có của Windows để thu thập thông tin trinh sát.
Đây là bước đi cho thấy xu hướng chung của các nhóm ransomware: giảm dấu vết trước khi kích hoạt mã hóa, khiến phát hiện xâm nhập trở nên khó hơn nếu chỉ dựa vào cảnh báo truyền thống.
Ý nghĩa của Event ID 1149 trong giám sát
Event ID 1149 nằm trong log RemoteConnectionManager Operational, không phải trong Security log chính. Nhiều tổ chức không chuyển tiếp log này vào SIEM hoặc xem nó là dữ liệu ưu tiên thấp, tạo ra khoảng trống cho kẻ tấn công thu thập thông tin âm thầm.
Cần lưu ý rằng Event ID 1149 không tự xác nhận một lần đăng nhập RDP thành công. Nó chỉ ghi nhận rằng một yêu cầu kết nối đã được tiếp nhận.
Để xác minh đăng nhập thành công, cần đối chiếu với Event ID 4624 trong Security log hoặc các bản ghi từ Local Session Manager. Tài liệu tham khảo về phân tích hành vi liên quan có thể xem tại: NVD – National Vulnerability Database.
Dấu hiệu phòng thủ và giám sát
Đội ngũ an ninh mạng nên bật PowerShell ScriptBlock Logging trên toàn bộ môi trường, vì không có lý do hợp lệ nào để một tiến trình không phải quản trị viên thực thi truy vấn RDP kiểu này.
Ngoài ra, cần theo dõi các cài đặt trái phép của công cụ truy cập từ xa như ScreenConnect, AnyDesk, Atera hoặc Total Software Deployment trên bất kỳ máy chủ nào có dấu hiệu bị xâm nhập.
Set-ItemProperty -Path HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging -Name EnableScriptBlockLogging -Value 1Giám sát thêm các sự kiện can thiệp Windows Defender cùng với các chỉ báo trên sẽ tăng khả năng phát hiện sớm. Khi xuất hiện trong vài giờ trước khi mã hóa bắt đầu, các tín hiệu này có thể trở thành dấu vết đáng tin cậy của một phiên xâm nhập trái phép liên quan đến Qilin ransomware.
IOC cần theo dõi
- Event ID 1149 trong Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
- Event ID 4624 trong Security log để đối chiếu đăng nhập thành công
- ScreenConnect cài đặt trái phép
- AnyDesk cài đặt trái phép
- Atera cài đặt trái phép
- Total Software Deployment cài đặt trái phép
- Dấu hiệu can thiệp Windows Defender
