Qwins Ltd.: Trung Tâm Mối Đe Dọa Mạng Nguy Hiểm

30/07/2025
4 mins read
Qwins Ltd.: Trung Tâm Mối Đe Dọa Mạng Nguy Hiểm

Phân tích gần đây về các ca nhiễm Lumma infostealer đã dẫn đến phát hiện một công ty hosting đáng ngờ. Các nhà nghiên cứu bảo mật tin rằng công ty này, Qwins Ltd., có thể đang vận hành một dịch vụ hosting “bulletproof” (chống đạn) hỗ trợ các hoạt động mối đe dọa mạng quốc tế đa dạng.

Nội dung
Phân Tích Dữ Liệu và Xác Định Mục Tiêu
Qwins Ltd.: Trung Tâm Hoạt Động Đáng Ngờ
Chi Tiết Các Hoạt Động Mã Độc
Mở Rộng Điều Tra và Phát Hiện Tên Miền Lừa Đảo
Tổng Quan Về Các Hoạt Động Malicious Trên AS213702
Dấu Hiệu Hosting ‘Bulletproof’ và Kết Luận
Chỉ Số Nhận Diện (IOCs)

Phân Tích Dữ Liệu và Xác Định Mục Tiêu

Lumma infostealer luôn nằm trong số năm họ mã độc hàng đầu. Điều này được ghi nhận bởi các nền tảng uy tín như abuse.ch và ANY.RUN.

Sự phổ biến của Lumma cung cấp nguồn mẫu phong phú cho các phân tích sâu hơn. Từ ngày 15 đến 22 tháng 7, các nhà nghiên cứu đã truy vấn API của abuse.ch để thu thập 100 hash gần đây. Sau đó, họ sử dụng API của VirusTotal để trích xuất 292 địa chỉ IP liên lạc từ các mẫu này.

Để tập trung vào các manh mối có thể hành động, các IP ẩn sau CDN như Cloudflare và Akamai đã được lọc bỏ. Quá trình này đã thu được 10 địa chỉ IP duy nhất thuộc các Hệ thống Tự trị (ASN) riêng biệt.

Qwins Ltd.: Trung Tâm Hoạt Động Đáng Ngờ

Trong số các IP này, 141.98.6.34 thuộc AS213702, do Qwins Ltd sở hữu, trở thành điểm nóng. IP này có liên hệ với nhiều loại infostealer, trojan và các trang web mạo danh. Đây là một dấu hiệu rõ ràng của các mối đe dọa mạng.

Qwins Ltd. là một thực thể có trụ sở tại Nga, cung cấp dịch vụ VPS và máy chủ chuyên dụng với chi phí thấp, bắt đầu từ 2 USD mỗi tháng. Cơ sở hạ tầng của công ty được triển khai ở nhiều địa điểm, bao gồm Nga, Đức, Phần Lan, Hà Lan và Estonia. Các dịch vụ có thể truy cập qua một bot Telegram.

Công ty được thành lập tại Vương quốc Anh vào ngày 11 tháng 11 năm 2024. Ban đầu, Kristina Konstantinova là giám đốc cho đến tháng 4 năm 2025. Sau đó, công ty đổi tên thành Quality IT Network Solutions Limited.

Đáng chú ý, việc đăng ký tên miền của công ty diễn ra trước khi thành lập một năm. Điều này làm dấy lên nghi ngờ về các hoạt động đã được tính toán trước.

Chi Tiết Các Hoạt Động Mã Độc

Phân tích IP 141.98.6.34 cho thấy nó đã lưu trữ một trang web lừa đảo. Trang này mạo danh dịch vụ tài chính Brex vào cuối tháng 6. Cùng với đó là nhiều tệp độc hại, bao gồm các tệp thực thi, ZIP và RAR. Các tệp này liên quan đến các infostealer và trojan, cho thấy sự tham gia của nhiều nhóm tấn công hoặc một nhóm phối hợp.

Các nhà nghiên cứu đã sử dụng Censys để xác định khoảng 2.300 host trong AS213702. Họ giả định rằng ASN này là một trung tâm cho các tác nhân đe dọa. Việc thu hẹp tìm kiếm dựa trên các thuộc tính khớp với IP ban đầu, như cổng 55543389, cùng với các chứng chỉ tự ký dùng chung, đã tìm thấy một nhóm ba IP: 141.98.6.190, 141.98.6.130, và 141.98.6.34.

Các IP này có liên quan đến các mã độc như Makop, GuLoader và AgentTesla. Chúng hoạt động đồng thời và thể hiện các hành vi của loader và infostealer. Điều này cho thấy nguy cơ hệ thống bị xâm nhập là rất cao.

Mở Rộng Điều Tra và Phát Hiện Tên Miền Lừa Đảo

Việc chuyển hướng sang các tên miền được lưu trữ đã phát hiện các trang web mạo danh công cụ SQL DBeaver (dbeaver.it.com và dbeaver-pro.site). Các trang này dẫn đến một IP khác là 141.98.6.81. IP này liên kết với các botnet như Mirai, Quackbot và Condi. Sự hiện diện của các botnet này cho thấy quy mô và tính chất phức tạp của các mối đe dọa mạng.

Tổng Quan Về Các Hoạt Động Malicious Trên AS213702

Một phân tích sâu hơn trong 30 ngày đối với các mạng của AS213702 đã phát hiện hoạt động độc hại lan rộng trên nhiều subnet khác nhau:

  • 93.123.39.0/24: Chủ yếu là các cuộc tấn công DDoS và C2 botnet trên cổng 666.
  • 141.98.6.0/24: Chứa các infostealer như Amadey, Lumma và Vidar.
  • 95.164.53.0/24: Sử dụng để phân phối mã độc thông qua droppers.
  • 77.105.164.0/24: Dùng cho C2 và trích xuất dữ liệu.

Hơn 120 payload đã được phát hiện, bao gồm các botnet (Mirai, Amadey), trojan (Zapchast) và các mối đe dọa đa nền tảng nhắm mục tiêu vào kiến trúc Windows, Linux, ARM và MIPS. Các payload này còn bao gồm các cryptominer và trojan truy cập từ xa như DarkGate. Đây là một bức tranh toàn cảnh về các mối đe dọa mạng nghiêm trọng.

Các chuỗi lây nhiễm thường bắt đầu từ các document dropper trên mạng 95.164, sau đó leo thang lên các payload trên 93.123, và cuối cùng là trích xuất dữ liệu ra 77.105. Điều này chỉ ra một mô hình lạm dụng có cấu trúc và có tổ chức.

Dấu Hiệu Hosting ‘Bulletproof’ và Kết Luận

Mặc dù việc phân loại chính thức là hosting “bulletproof” vẫn đang được điều tra. Tuy nhiên, sự tập trung cao của các hoạt động độc hại không được ngăn chặn – bao gồm lừa đảo (phishing), kỹ thuật xã hội và đa dạng mã độc – cho thấy đây là một nhà cung cấp bền vững và có khả năng dung túng cho các hành vi lạm dụng. Điều này làm tăng nguy cơ xâm nhập mạng đối với các tổ chức và người dùng.

Các nhà nghiên cứu có kế hoạch tiếp tục điều tra sâu hơn về các mối đe dọa mạng liên kết. Họ cũng kêu gọi sự hợp tác từ những người có hiểu biết trước đó để nâng cao thông tin tình báo về các mối đe dọa mạng toàn cầu. Khả năng phát hiện xâm nhập và chia sẻ thông tin là rất quan trọng để đối phó với những nhà cung cấp dịch vụ độc hại này.

Tham khảo thêm về nghiên cứu ban đầu tại: IntelInsights Substack.

Chỉ Số Nhận Diện (IOCs)

  • Địa chỉ IP:
    • 141.98.6.34
    • 141.98.6.190
    • 141.98.6.130
    • 141.98.6.81
  • Hệ thống Tự trị (ASN):
    • AS213702 (Qwins Ltd)
  • Họ Mã độc:
    • Lumma infostealer
    • Makop
    • GuLoader
    • AgentTesla
    • Mirai
    • Quackbot
    • Condi
    • Amadey
    • Vidar
    • Zapchast
    • DarkGate
  • Phishing Domains/Sites:
    • Mạo danh dịch vụ tài chính Brex
    • dbeaver.it.com
    • dbeaver-pro.site
  • Subnets:
    • 93.123.39.0/24
    • 141.98.6.0/24
    • 95.164.53.0/24
    • 77.105.164.0/24