4. So sánh với chiến dịch Phishing cũ sử dụng hạ tầng 174.136.14[.]95

Đây không phải lần đầu tiên đội ngũ Viettel Threat Intelligence (VTI) ghi nhận chiến dịch Phishing của nhóm này, tháng 3 tháng 4 cũng đã ghi nhận chiến dịch Phishing của nhóm tấn công này ở mức lẻ tẻ, VTI nhận thấy chiến dịch của tháng 6, tháng 7 có một số điểm mới:

  • Đã có cơ chế chống Bruteforce đối với một số trường nhập vào của trang Phishing.
  • Số lượng tên miền lừa đảo tăng lên so với hạ tầng IP chiến dịch cũ.
  • Đa dạng hóa nội dung bằng cách dịch chuyển phân bố nội dung từ lừa đảo trúng thưởng sang ngân hàng, cho vay vốn,…

Chiến dịch Phishing mới có phần cải thiện đáng kể bằng cách đa dạng hóa nội dung, chuyển dịch cơ cấu giữa các hình thức lừa đảo.

Chiến dịch cũ nội dung chưa đa dạng, chủ yếu đánh vào chủ đề trúng thưởng. Ảnh: VTI.
Nội dung chiến dịch mới được đa dạng hóa thêm nội dung ngân hàng, vay vốn và thanh toán thẻ. Ảnh: VTI
Biểu thị so sánh số lượng loại tên miền giữa hai chiến dịch. Ảnh: VTI

Dựa trên một số thông tin chúng tôi crawl được từ không gian mạng, chúng ta có thể thấy được một số phần khá rõ ràng của nhóm này.

Hoạt động của nhóm tấn công trong hai chiến dịch biểu thị theo thời gian. Ảnh: VTI.

Có thể thấy nhóm này hoạt động rất mạnh vào thời gian đầu tháng 3 và giữa tháng 4, nhưng sau đó gần như im lặng trong suốt tháng 5 thì sang tháng 6 và tháng 7 hoạt động trở lại trong chiến dịch mới.

Theo điều tra của VTI, việc “án binh bất động” của nhóm lừa đảo trong tháng 5 có phần nào liên quan tới chuyên án bắt giữ một nhóm lừa đảo Phishing với thủ đoạn tương tự nhắm tới hơn 100 nạn nhân bị lừa tới hàng tỷ đồng.

Chuyên án bắt giữ các đối tượng Phishing lừa đảo vào đầu tháng 5/2020. Nguồn: VTI.
Phần bố số lượng tên miền Phishing đăng ký theo giờ trong ngày của hai chiến dịch. Ảnh: VTI.

Nhìn vào phân bố số lượng tên miền Phishing đăng ký theo giờ Việt Nam trong ngày của hai chiến dịch được sử dụng (màu xanh là chiến dịch cũ, màu hồng chiến dịch mới) có thể đưa ra được một số nhận định:

  • Giờ hoạt động mạnh nhất của nhóm này thường trong khoảng cuối giờ sáng, cuối giờ chiều, tối. Vào khung giờ trưa thì không hoạt động nhiều, các khung giờ đêm thì chỉ tồn tại một số hoạt động lẻ tẻ, không quá nhiều.
  • Có thể nhận định được nhanh rằng nhóm lừa đảo cũng sinh hoạt theo khung giờ Việt Nam (GMT +7) hoặc các khung giờ GMT +6 hoặc GMT +8 (của các nước láng giềng trong khu vực).
Phân bố số lượng tên miền Phishing theo loại được tạo trong chiến dịch cũ. Ảnh: VTI.
Phân bố số lượng tên miền Phishing theo loại được tạo trong chiến dịch mới. Ảnh: VTI.

Nhìn hai biểu đồ phân bố số lượng tên miền theo loại của chiến dịch cũ và mới, có thể thấy nhóm lừa đảo đã phát triển hơn về mặt nội dung, thường xuyên cập nhật liên tục theo tuần chứ không dừng ngắt quãng lại như chiến dịch trước.

Dựa vào thông tin đã thu thập trước đây vào cuối năm 2019 và so sánh tính chất giữa hai chiến dịch, chúng tôi đưa ra một số kết luận sau:

  • Nhóm lừa đảo này đã từng hoạt động lẻ tẻ vào cuối năm 2019, đến tháng 3 tháng 4 bắt đầu triển khai chiến dịch lừa đảo diện rộng, tháng 6 và tháng 7 tiếp tục triển khai chiến dịch mới.
  • Hoạt động lừa đảo của nhóm ngưng trệ trong tháng 5 vì một số tình hình chuyên án đã bị bắt giữ trong thời gian này.
  • Dựa vào tuần suất phân bố số lượng tên miền đăng ký theo giờ, có thể đưa ra nhận định rằng các đối tượng này sinh hoạt tại những quốc gia trong khung giờ GMT +6 cho tới GMT +8 của các nước láng giềng tại Việt Nam. Hiện tại chưa có sở cứ kết luận những đối tượng lừa đảo này sinh sống trong nước.
  •  Tuy thủ đoạn không mới, có phần cóp nhặt nội dung so với các đối tượng lừa đảo trước đây, nhưng nhóm này đã thể hiện sự cải tiến, rút kinh nghiệm để tăng tính hiệu quả (VD: thêm cơ chế chống Brute-force, sử dụng các công cụ triển khai tự động hóa, đa dạng hóa và bổ sung nội dung cho các loại hình thức, kịch bản lừa đảo…).
  •  Dự kiến trong thời gian tới khi việc khai thác không còn hiệu quả (Vì IP sử dụng sẽ vào danh sách Blacklist của nhiều tổ chức), nhóm này sẽ ngưng sử dụng hạ tầng IP 167.114.2[.]51 và chuyển sang hạ tầng khác với nội dung đa dạng hơn trước đây.

Để tiếp tục theo dõi và xem những nội dung chi tiết hơn nữa của chiến dịch này, độc giả có thể đăng ký tài khoản tại trang cyberintel[.]io để sử dụng dịch vụ Viettel Threat Intelligence.

5. Hạ tầng/tên miền Phishing được sử dụng bởi nhóm lừa đảo

5.1. Chiến dịch tháng 6 và tháng 7 sử dụng IP 167.114.2[.]51

Chiến dịch Phishing mới diễn ra từ tháng 6. Ảnh: VTI.

IOC IP:

  • 167.114.2[.]51 (khuyến cáo Blacklist trong vòng 3 tháng).

IOC Phishing ngân hàng:

  • na***vn[.]com (mạo danh cổng thanh toán điện tử lớn tại Việt Nam, nhưng hiện tại chưa được sử dụng, đang được cấu hình để redirect về trang chính chủ)
  •  **bankonline[.]com (mạo danh ngân hàng lớn tại Việt Nam, hiện tại trang phishing không còn sống)
  • hethongnganhangvn[.]com
  • nganhangxacnhanvay[.]com
  • trangxacnhan24h[.]com
  • hethongnganhang[.]com
  • xacnhanvaynganhang[.]com
  • nganhangchuyenkhoan[.]com
  • trangnganhangvn[.]com
  • fbanking24h[.]com
  • hdcrited[.]com (được sử dụng nhiều trong chiến dịch vừa qua)
  • nganhangchuyentien[.]com
  • ngan*******nuocvn[.]com (Tên miền mạo danh Tổ chức tài chính lớn của nhà nước).
  • nganhanggiaodich[.]com
  • trangnganhang[.]com
  • kiemtratrangthaithe[.]com
  • quydoingoaite-western[.]com
  • nganhangxacnhanvn[.]com
  • nganhangxacnhan[.]com
  • bankingplus24h[.]com
  • xacnhannganhangvn[.]com
  • tracuutrangthaithe[.]com
  • xacnhanthongtin[.]com
  • trangxacnhanvn[.]com
  • giaodichnganhangvn[.]com
  • ibankingvtc[.]com
  • kiemtrathecao24h[.]com

IOC Phishing sử dụng chương trình vay vốn tiền mặt:

  • taichinh24g[.]online
  • vay2s[.]com
  • id-vay[.]com
  • vaytien24s[.]online
  • vaytiennhanh[.]online

IOC Phishing sử dụng chương trình thanh toán thẻ điện tử:

  • trangthezing[.]com
  • kiemtrathegame.net
  • tongdaihehongthezing[.]com
  • trangchuzingvng[.]com
  • tongdaithe[.]com
  • kiemtrathevnn[.]com
  • trangchuzing090[.]com
  • xacminhthegame[.]com
  • tongdaizing365[.]com
  • thongtinthevcoin[.]com
  • kiemtrapayzing[.]com
  • tracuuthetructuyen[.]com
  • kiemtrathe[.]com
  • mobigunny[.]com
  • tongdaizing247[.]com
  • kiemtratheonline[.]com
  • xacminhzingme[.]com
  • tracuuthezing247[.]com

IOC Phishing sử dụng chủ đề trúng thưởng:

  • hethongsp[.]com
  • tangthuong79[.]com
  • nhanthuong247vn[.]com
  • hopqua247vn[.]com
  • quavangsp252[.]com
  • tinvangsp505[.]com
  • tinthuongthang8[.]com
  • giaiviet2020[.]com
  • hoso393vn[.]com
  • hoso898vn[.]com
  • lethuongthang7[.]com
  • mxh0779[.]com
  • lelocvang2020vn[.]com
  • vongquayvangsp2020[.]com
  • thongtinsukienthang7[.]com
  • traoqua797vn[.]com
  • traothuong779vn[.]com
  • traothuong595vn[.]com
  • tranggiovang[.]com
  • hososukien252[.]com
  • hosovongquay[.]com
  • thongtinsukienvn2020[.]com
  • sukien577[.]com
  • giaithuongviet2020[.]com
  • traoqua379vn[.]com
  • traoqua525vn[.]com
  • quaysomayman2020[.]com
  • tinthuongthang7[.]com
  • tongdaizing090[.]com
  • tuvanmxh365[.]com
  • giainhatgapo2020[.]com
  • tranghoso88[.]com
  • hotro779[.]com
  • sukienqua2020vn[.]com
  • hoso797vn[.]com
  • hotrodichvu2020[.]com
  • traoquasukien365vn[.]com
  • nhanphanqua2020[.]com
  • traotanglocvang[.]com
  • trangchugrindr[.]com
  • quamayman739[.]com
  • traoquasukien24hvn[.]com
  • sukienvn2020[.]com
  • hopqua393vn[.]com
  • hopquavn979[.]com
  • thongbaoquykhach89[.]com
  • hosogiai2020[.]com
  • traoquasukienthang6[.]com
  • traogiainhat777[.]com

5.2  Chiến dịch tháng 3 và tháng 4 sử dụng IP 174.136.14[.]95 (Hiện tại chiến dịch này đã kết thúc, chỉ còn giá trị tham khảo)

Phishing ngân hàng:

  • bo********2020[.]com (cũng mạo danh tổ chức Tài chính lớn tại Việt Nam).
  • ***ibanking[.]com (mạo danh ngân hàng thương mại lớn tại Việt Nam)
  • vtcbanking[.]com
  • westernutionbank[.]com
  • xacnhannganhang[.]com

Phishing giả mạo chương trình trúng thưởng, tặng quà:

  • mc24h[.]com
  • codevip24h[.]com
  • traoxe888[.]com
  • thuongvang365[.]com
  • tinvang2020vn[.]com
  • tangquaxe2020[.]com
  • trangthaithecao2020[.]com
  • thongtinthedt[.]com
  • giainhatfb379[.]com
  • vinfastprize[.]com
  • xenhapkhauuytin[.]com
  • letrian2020[.]com
  • nhanquaxe2020[.]com
  • quatangtrian2020[.]com
  • kiemtrathetructuyen[.]com
  • nhanngay24h[.]com
  • quathu20[.]com
  • traoxe666[.]com
  • legiaithang4[.]com
  • phanqua20[.]com
  • hethongquatang2020[.]com
  • traogiaitrian2020[.]com
  • trianvang2020[.]com
  • trungxe55[.]com
  • thongtingiainhat7979[.]com
  • hethongvangfb2020[.]com
  • quasukienvn77[.]com
  • traoquasukienshopee[.]com
  • shopee24hvn[.]com
  • hotrotrian152[.]com
  • giaithuong2020[.]com
  • giaithuong20[.]com
  • lequagiai2020[.]com
  • kenhqua2020[.]com
  • giaihenho2020[.]com
  • trangqua379[.]com
  • vietnamquafb2020[.]com
  • giaigiovang2020[.]com
  • nhanthuong24h[.]com
  • confirmbanking[.]com
  • giainhat2020[.]com
  • sukienshopee24h[.]com
  • shopeevietnam2020[.]com
  • traogiai2020vn[.]com
  • hethonggiai2020[.]com
  • xethanhlyhaiquan[.]com
  • hethong2020[.]com
  • nhanthuongsh[.]com
  • trungxe888[.]com
  • traoquasukienthang3[.]com
  • kiemtragamezing[.]com
  • traoquaxe2020[.]com
  • tuanlevang168[.]com
  • letrian552[.]com
  • xacnhanhoso2020[.]com
  • vietnamqua2020[.]com
  • hethongvangvn2020[.]com
  • nhanthuongvn2020[.]com
  • quatrianvn777[.]com
  • trianvn379[.]com
  • letrungvang2020[.]com
  • nhangiaivongquay2020fb[.]com
  • sukientraogiai2020[.]com
  • sukientrian2020[.]com
  • shopeevnn2020[.]com
  • shopeeapp2020[.]com
  • hotro2020[.]com
  • nhanthuong2020[.]com
  • loctrianthang3[.]com
  • kiemtrathe247[.]com
  • giaithuongtrian2020[.]com
  • giovang2020[.]com
  • thangvang2020vn[.]com
  • mxh000[.]com
  • locxuan679[.]com
  • trianvn77[.]com
  • hethongvang2020[.]com
  • hopquatang2020[.]com
  • traoquavn2020[.]com
  • traoquatang2020[.]com
  • hosothang2020[.]com
  • tingiaithang3[.]com
  • trungqua222[.]com